content-security-policy 相关问题

内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。

缺少标头安全报告.htaccess

我正在尝试调整安全标头。服务器是阿帕奇。该网站基于 wordpress。我已经修改了这个文件十次,我已经将它上传到服务器十次了,但我仍然......

回答 1 投票 0

在 Electron 中设置 CSP 元标记时出现“您网站的内容安全策略阻止在 JavaScript 中使用‘eval’”警告

我正在创建一个 Electron 应用程序,并且根据 Electron 安全教程,我添加了一个 CSP 元标记。运行应用程序时,此问题出现在 devtools 中。 ...的内容安全政策

回答 3 投票 0

CSP 错误帮助 - 拒绝构建“已编辑”,因为它违反了以下内容安全策略指令

在我的网站上,我开始看到所有小部件都消失了,并且出现此错误, 拒绝构建“WEBSITE_URL”,因为它违反了以下内容安全策略指令:“default-src 'se...

回答 1 投票 0

如何从内联 JavaScript 生成 SHA256 哈希?

我有内联javascript,仅包含 jQuery.noConflict();在 src 标签内。我尝试将此字符串插入 SHA256 生成器,它给了我

回答 1 投票 0

配置trix编辑器不生成标题样式标签

我在 Ruby on Rails 项目中使用“trix-rails”gem。我需要使项目遵守任何不安全的内联 CSP,但我对标头中 trix 生成的两个样式标签有问题。 我是你...

回答 1 投票 0

使用“style-src 'self'”CSP策略时如何在React应用程序中应用样式?

我已经在我的 React 应用程序中实现了 CSP 策略: 光热发电政策: 屏蔽了所有@

回答 2 投票 0

在网站中,由于 CSP 配置内联样式和脚本以及外部脚本未加载

我们的网站中有以下 CSP 标头 默认 src 'self' https:blob:数据:'unsafe-inline' 'unsafe-eval' script-src:https://ajax.googleapis.com https://analytics.kaltura.com https://api。佩...

回答 1 投票 0

如何将包含“+”的 SHA 哈希添加到内容安全策略 HTTP 标头

我已将哈希值“sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=”添加到网站上的 CSP 标头中,仅供 Google Chrome 告诉我添加相同的哈希值: 拒绝应用内联样式,因为...

回答 1 投票 0

内容安全策略不适用于 SHA256

我正在 RedHat 6 Apache 2.2 上为一些带有 JavaScript 链接到 Google 的 html 文件创建内容安全策略。我在 httpd.conf 文件中的站点虚拟主机中添加了以下代码。 ...

回答 2 投票 0

如何修复 Chrome CSP 阻止的登录和注销重定向?

所以我在 Laravel 网站中启用了 CSP,它在本地主机上运行得非常好。但是,当使用域在 Linux 服务器上部署网站时出现问题,它给了我一个错误。 罗...

回答 2 投票 0

如何在 Material-UI 中为内容安全策略设置随机数?

我有一个使用 Create-React-App (react-scripts) 和 Material-UI 的 React 应用程序。我想为我的应用程序应用强大的内容安全策略,它不允许不安全的内联样式。 我想要...

回答 4 投票 0

Tawk.to href="javascript:void(Tawk_API.toggle())"替代方案

我有一个可以与 Tawk. 聊天的网站。我编写内容安全策略,并且需要避免所有内联脚本。 代码如下所示: 超文本标记语言 我有一个可以与 Tawk. 聊天的网站。我编写内容安全策略,并且需要避免所有内联脚本。 代码如下所示: HTML <a class="message_button anchor" id="message_button" href="javascript:void(Tawk_API.toggle())" title="Üzenjen nekünk!"><img alt="Üzenet küldés gomb ikonja" src="img/message_icon.svg" /></a> JS var Tawk_API=Tawk_API||{}, Tawk_LoadStart=new Date(); (function(){ var s1=document.createElement("script"),s0=document.getElementsByTagName("script")[0]; s1.async=true; s1.src='https://embed.tawk.to/5fb64551920fc91564c886eb/default'; s1.setAttribute('crossorigin','*'); s0.parentNode.insertBefore(s1,s0); })(); 所以问题出在 javascript:void(Tawk_API.toggle()); $("#message_button").click(function() { $(this).attr("href", "javascript:void(Tawk_API.toggle())"); }); 但有点一样。我尝试使用 click 和 Tawk_API.toggle() 添加事件监听器,但控制台说 Tawk_API.toggle() 不是函数。 有什么建议吗? javascript:void() 有什么替代方案吗? 感谢您提前的答复! 您可以使用 jquery on() 方法作为替代方法 <script> jQuery(document).ready(function($){ $( "#message_button" ).on( "click", "a", function(){Tawk_API.toggle();}); }); </script> 我尝试添加带有 click 和 Tawk_API.toggle() 的事件监听器,但控制台说 Tawk_API.toggle() 不是函数。 这是因为API尚未加载时您调用了Tawk_API。它需要使用 Tawk_API.onLoad 事件,请参阅 Tawk doc: 中的示例 Tawk_API.onLoad = function(){ Tawk_API.toggle(); }; 你必须做这样的事情: Tawk_API.onLoad = function(){ $("#message_button").click(function() { Tawk_API.toggle(); }); }; PS: $(this).attr("href", "javascript:void(Tawk_API.toggle())"); 构造是一个 javascript 导航,因此它是一个内联脚本。 我设法使用 onclick 属性和按钮上的“Tawk_API.toggle()”值激活 Tawk.to 聊天窗口。

回答 3 投票 0

Ext JS:CSP 标头的漏洞

我想知道Ext JS 7.7新版本是否解决了CSP标头的漏洞问题。具体来说,我想知道“unsafe-eval”内容安全策略是否......

回答 3 投票 0

CSP 错误:拒绝构建,因为祖先违反了以下内容安全策略指令

我在这里看到了很多这样的问题。但没有一个答案对我有用。 这是我的设置: 我有一个使用 oidc 在 https://localhost:4200 上运行的 Angular 17 前端项目。 我...

回答 1 投票 0

如何在CSP中使用nonce

我一直在阅读有关使用带有随机数的内联脚本(数字仅使用一次)的 CSP 文档,但我仍然没有完全理解。 我可以对不同的内联脚本使用相同的随机数吗?那...

回答 2 投票 0

如何添加内容安全策略(CSP)

我想使用javascript访问一个网站。但我在控制台中收到以下错误。 拒绝连接到“https://example.com”,因为它违反了以下内容安全政策...

回答 2 投票 0

如何使用节点和头盔在html脚本标签中实现内容安全策略NONCE

我很难找到我的问题的答案,这无疑是因为我不知道要搜索什么,但我希望这里有人可以提供帮助:) 我已经使用 no...

回答 4 投票 0

CSP 随机数实现是什么样的?

我最近一直在阅读 CSP 的内容,但我未能找到关于 nonce 如何工作的清晰解释或可靠示例。出于安全考虑,我试图避免使用 unsafe-inline。 到目前为止,我的

回答 2 投票 0

我可以使用 CSP 来限制对 https: 和“self”的请求吗?

我最初在我的 CSP 标头中包含此内容:default-src 'self';,它将源限制为仅限我的域,但它没有提及方案/协议。据我所知,这将使来源...

回答 1 投票 0

想要从应用程序中删除样式 src 不安全内联

我试图通过设置 Content-Security-Policy 标头来减轻 XSS 攻击,但 Chrome 不断抛出错误: 拒绝执行内联事件处理程序,因为它违反了以下内容

回答 2 投票 0

© www.soinside.com 2019 - 2024. All rights reserved.