是否可以将内容安全策略配置为根本不阻止任何内容?我正在上一门计算机安全课程,我们的网络黑客项目在较新版本的 Chrome 上遇到了问题,因为没有任何 CSP 标头,它会自动阻止某些 XSS 攻击。
对于那些仍然想要更宽松的帖子的人,因为其他答案不够宽松,他们必须使用谷歌浏览器,而
*default-src * data: mediastream: blob: filesystem: about: ws: wss: 'unsafe-eval' 'wasm-unsafe-eval' 'unsafe-inline';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
frame-ancestors * data: blob: 'unsafe-inline';
它根本不安全,但作为起点,真正的允许所有策略是:
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
最好的办法是不应用任何政策。
但是要回答你的问题,“允许所有政策”可能是:
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
注意:未经测试
这是允许 CSP 中所有内容的 htaccess 代码
Header add Content-Security-Policy "default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; connect-src * data: blob: 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src * data: blob: ; style-src * data: blob: 'unsafe-inline'; font-src * data: blob: 'unsafe-inline';"
免责声明/警告:请考虑编写适当的 CSP 。以下配置允许任何连接,并且不提供任何安全优势。 Content-Security-Policy-Report-Only 标头可帮助您通过两步/非阻塞来实现适当 CSP 的目标。
由于每个策略的默认行为都是回退到 default-src(根据 MDN),因此允许任何内容的最简单的 CSP 标头应该是这样的:
default-src * data: mediastream: blob: filesystem: about: ws: wss: 'unsafe-eval' 'wasm-unsafe-eval' 'unsafe-inline';
为什么
*