内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。
在具有严格内容安全策略的页面上与 Chrome 扩展中的自定义 Web 组件交互
我正在制作一个 Chrome 扩展程序,它需要与第三方网页上的自定义 Web 组件(自定义复选框)进行交互。我需要从我的内容中访问元素的属性和方法
无法使用 Google 地图 API 实施严格的内容安全策略
对于 maps.googleapis.com 的 common.js 文件,我在 chrome 开发者工具的控制台中多次出现以下错误- 常见的.js:15 拒绝应用内联样式,因为它违反了以下...
来自 *.demdex.net 和 *.tt.omtrdc.net 的 CSP 违规,而这些域在白名单中
我在页面上设置 CSP 标头时遇到问题,根据 https://docs.adobe.com/content/help/en/id-service/using/reference/csp.html 我已经添加了相关的域名...
为什么 vortex.data.microsoft.com 使用我的 CSP?
我有一个 Web 应用程序,它使用自定义 Web 协议 my-webpcl:// 来启动本地应用程序。本质上,一个 .exe 从 HTML 页面启动,与 Valve 与 Steam steam:// Br ...
出于某种原因,Chrome(或者至少是我的 Chrome)没有报告 CSP 违规行为。它正确地拒绝显示禁止的内容,但不报告违规行为。相比之下,Firefox
WebKit .pdf 显示似乎需要具有“不安全内联”样式的 CSP
我为一个非营利组织维护一个小型网站。可以在网站上查看多个 .pdf。 我在当前版本的 Safari (v. 1...
Jekyll:是否可以在 CSS 文件中使用 Liquid 标签? (回复:内容安全政策合规性)
在 Jekyll 页面中,我有以下内联样式: 在 Jekyll 页面中,我有以下内联样式: <div class="myClass" style="background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %}); height:320px;"></div> 为了防止任何 CSP 违规/错误,在标头中,我将 CSP 设置如下: style-src 'self' 'unsafe-hashes' 'sha256-GlN6IkeSF4fF9C8zesLvRQRzAe2/ztqCm4T50cOnYvY=' 但是我在谷歌浏览器和微软Edge等少数浏览器中仍然收到以下警告: 不应使用 CSS 内联样式,将样式移动到外部 CSS 文件 因此,我尝试将内联样式移动到外部CSS文件如下: 在 CSS 文件的开头添加了一个空的 YAML 块 添加了以下包含 Liquid 标签的 CSS 样式: .myClass { background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %}); height:320px; } 但是,添加到CSS文件中的Liquid标签没有被处理。事实上,在生成的 HTML 页面中,我没有看到背景图像相应地没有显示在页面上。 我希望相应地看到背景图像。 是否可以将内联样式和那些 Liquid 标签正确移动到外部 CSS 文件? 因为 CSS 文件是静态文件,所以不可能在外部 CSS 文件中使用 Liquid 标签。 解决方法一:可以将内联样式移到HTML文件头部,使用Jekyll的样式标签 <head> <style> .myClass { background-image: url( {% if latest_post.image contains "://" %} {{ latest_post.image }} {% else %} {{site.baseurl}}/{{ latest_post.image }} {% endif %} ); height: 320px; } </style> </head> <body> <div class="myClass"></div> </body> 解决方法 2:您可以使用 JavaScript 来应用动态样式。这确保在将 CSS 代码添加到文档之前处理 Liquid 标签。 <head> <style> .myClass { height: 320px; } </style> <script> window.onload = function() { var latest_post_image = '{{ latest_post.image }}'; var site_baseurl = '{{ site.baseurl }}'; var myClassElements = document.querySelectorAll('.myClass'); for (var i = 0; i < myClassElements.length; i++) { var backgroundImageUrl = latest_post_image.includes("://") ? latest_post_image : site_baseurl + '/' + latest_post_image; myClassElements[i].style.backgroundImage = 'url(' + backgroundImageUrl + ')'; } } </script> </head> <body> <div class="myClass"></div> </body>
我们有一个当前部署在客户网站上的 iframe。我们使用 CSP frame-ancestors 指令来限制 iframe 的部署方式和位置。例如: 内容安全政策:
Jekyll:如何在 CSS 文件中正确使用 Liquid 标签(内联样式和内容安全策略合规性)
在 Jekyll 的 HTML 页面中,我有以下内联样式: 在 Jekyll 的 HTML 页面中,我有以下内联样式: 为了防止任何 CSP 违规/错误,在标头中我将 CSP 设置如下: style-src 'self' 'unsafe-hashes' 'sha256-GlN6IkeSF4fF9C8zesLvRQRzAe2/ztqCm4T50cOnYvY=' 但我仍然在一些浏览器(例如 Google Chrome 和 Microsoft Edge)中收到以下警告: 不应使用 CSS 内联样式,将样式移动到外部 CSS 文件 因此,我尝试将内联样式移动到外部 CSS 文件,如下所示: 在 CSS 文件的开头添加了一个空的 YAML 块 添加了以下包含 Liquid 标签的 CSS 样式: .myClass { background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %});高度:320px; } 但是,添加到CSS文件中的Liquid标签没有被处理。事实上,在生成的 HTML 页面中,我只看到以下空的 HTML 标记,并且背景图像相应地没有显示在页面中。 < div class="myClass">< /div> 我希望根据 CSS 配置看到背景图像。 是否可以将内联样式和那些 Liquid 标签正确移动到外部 CSS 文件?
Jekyll:如何在 CSS 中正确使用液体(内联样式和内容安全策略合规性)
在 Jekyll 的 HTML 页面中,我有以下内联样式: 在 Jekyll 的 HTML 页面中,我有以下内联样式: 为了防止任何 CSP 违规/错误,在标头中我将 CSP 设置如下: style-src 'self' 'unsafe-hashes' 'sha256-GlN6IkeSF4fF9C8zesLvRQRzAe2/ztqCm4T50cOnYvY=' 但我仍然在一些浏览器(例如 Google Chrome 和 Microsoft Edge)中收到以下警告: 不应使用 CSS 内联样式,将样式移动到外部 CSS 文件 因此,我尝试将内联样式移动到外部 CSS 文件,如下所示: 在 CSS 文件的开头添加了一个空的 YAML 块 添加了以下包含 Liquid 标签的 CSS 样式: .myClass { background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %});高度:320px; } 但是,添加到CSS文件中的Liquid标签没有被处理。事实上,在生成的 HTML 页面中,我只看到以下空的 HTML 标记,并且背景图像相应地没有显示在页面中。 < div class="myClass">< /div> 我希望根据 CSS 配置看到背景图像。 是否可以将内联样式和那些 Liquid 标签正确移动到外部 CSS 文件?
在 Angular 通用应用程序中创建 csp 可信类型策略
我想知道如何在服务器上创建受信任类型的默认策略。我试过安装受信任类型的 npm 包并创建这样的策略 const tt=require('可信类型'); tt.
我的 CSP 规则非常简单/标准: content-security-policy: default-src 'self' https: 'unsafe-inline' https://www.googleapis.com https://api.dropboxapi.com https://content.dropboxapi.com;img .. .
如何在我的 Angular 通用应用程序中使用节点服务器中的可信类型
我试图在节点服务器中为任何角度应用程序创建一个策略,但似乎导入可信类型模块的方式有问题。 我就是这样做的 常数 tt =
Laravel CSP(内容安全策略)frontegg ui 集成问题
https://github.com/spatie/laravel-csp https://github.com/frontegg/frontegg-vue 我需要帮助, 在我添加了 laravel csp 之后,前面的 egg vue 登录页面无法正常工作。 拒绝应用内联样式是...
我正在为 Firefox 编写插件,但内容安全策略有问题。当我按下按钮时,它需要访问 Google API,所以我在 popup.html 中添加了以下脚本标签 <
拒绝连接到*.my.salesforce.com,当使用iframe登录salesforce里面的salesforce
有一个 Web 应用程序具有用于 Salesforce 的 SSO,这是使用 keycloak OIDC 实现的。 Web 应用程序提供了一个登录页面,其中包含使用 Salesforce 登录选项。 这个网
我在我的项目中使用 Primefaces 8.0。 我正在尝试按照此处所述配置内容安全策略。 这是我的配置的样子: 我在我的项目中使用Primefaces 8.0。 我正在尝试按照 here. 中的说明配置内容安全策略 这就是我的配置: <context-param> <param-name>primefaces.CSP</param-name> <param-value>true</param-value> </context-param> <context-param> <param-name>primefaces.CSP_POLICY</param-name> <param-value>script-src 'self' https://wchat.freshchat.com</param-value> </context-param> 在 Mozilla Firefox 中一切正常。 但在谷歌浏览器中,我收到这些错误消息: jquery.js.jsf?ln=primefaces&v=8.0:2 Refused to run the JavaScript URL because it violates the following Content Security Policy directive: "script-src 'self' https://wchat.freshchat.com 'unsafe-hashes' 'nonce-MWYzYWZiMTEtNzM0Mi00Mzc1LWI0OTMtZTY3YWU4NTI2NjIx'". Either the 'unsafe-inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required to enable inline execution. 我注意到这些错误发生在使用PrimeFaces Editor的页面上 显然问题是 src="javascript:true; 是在渲染 PrimeFaces Editor 时添加的。 请告知如何解决此问题。
Firebase 后端与 MV3 Chrome 扩展程序交互时如何保护它? (AppCheck, Auth, ...)
为了保护我自己和我的项目免受欺诈和滥用(特别是因为 Firebase 计费不允许硬限制)我真的很想用 AppCheck 保护 Cloud Function 端点。 ...
如何在html中为connect-src内容安全策略设置通配符?
在html中我有这个 在html中我有这个 <meta http-equiv="Content-Security-Policy" content="default-src 'self'; connect-src file: https://data.global ws://localhost:* http://localhost:*; img-src http://localhost:* file: blob: data:; font-src file: http://localhost:*; script-src 'self' 'unsafe-eval'; style-src 'self' 'unsafe-inline'" /> 但是对于connect-src我有很多域我想列入白名单。有时它们会被频繁创建,所以我不想每次都更新。有没有办法只允许所有域?我可能会删除 connect-src 但随后 default-src 将启动并破坏它。
生产错误:拒绝加载脚本 react-google-maps/api
我正在使用 @react-google-maps/api 和 react js 我在使用 useLoadScript 挂钩时遇到问题,isLoaded 返回 false 并出现以下错误 拒绝加载脚本 'https://maps.goog...