content-security-policy 相关问题

内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。

内容安全策略阻止火力用户认证

我建立一个应用程序与科尔多瓦/ vuetify /火力,现在和我的内容安全策略是给我带来些麻烦。每当我尝试创建我看到这个错误新用户:拒绝连接到” ...

回答 1 投票 0

JQuery的3.1.1违反CSP指令

我使用jQuery 3.1.1版,我想实现我的网页内容安全策略指令。我收到以下错误:拒绝了,因为它违反了执行内联脚本?

回答 2 投票 8

Rails 5.2:设置CSP nonce的最佳实践

我们的应用程序在Rails 5.2上,它使用没有资产管道的webpacker来提供资产。我想知道在脚本标记上设置nonce属性的最佳方法是什么。在......

回答 1 投票 0

内容安全策略(CSP) - 安全使用unsafe-eval?

我们使用以下CSP标头:default-src'self'* .ourdomain.com; script-src'self'* .ourdomain.com'sha256 - [...]''unsafe-eval'; connect-src'self'* .ourdomain.com; style-src'unsafe-inline'* ...

回答 2 投票 5

拒绝执行内联脚本,因为它违反了以下CSP Chrome扩展程序

我们正在尝试在Chrome扩展程序中实施Google Analytics。这些是我们所做的步骤:我们的manifest.json被编辑为:“Content-Security-Policy”:“default-src'self'; script-src'...

回答 1 投票 0

ReCAPTCHA正在生成内容安全策略警告

我在我的网站上实现了reCAPTCHA v3,一切正常,我得到了一个得分,服务器端的一切。但是,我在控制台中收到了大量的内容安全策略警告......

回答 1 投票 0

为什么有csp错误,可能源于角度,即使指定了ng-csp?

我在我的网站上添加了一个CSP http标头限制,没有任何“不安全”选项。现在,当某些ng-show评估发生变化时,angular会输出此错误:'拒绝执行内联事件处理程序...

回答 1 投票 0

IdentityServer 4的内容安全问题升级到1.5版

我将我的Identityserver 4升级到版本1.5.1,现在有内容安全策略错误。到目前为止,所有解决方案都没有对我有用我试过这个

回答 1 投票 -1

为Feature-Policy HTTP标头设置默认值

对于HTTP功能策略标头,您可以单独设置https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy中提到的功能。但是如何设置默认值?你能行的 ...

回答 1 投票 2

允许内容安全策略中的SVG没有'unsafe-eval'

SVG是网络的重要组成部分。有没有办法让Inkscape中创建的SVG与内容安全策略标头的安全设置一起使用?我的...中有多个“http:// ...”链接

回答 2 投票 0

在tomcat中配置Content-Security-Policy

我阅读了有关配置/实现Content-Security-Policy标头的内容,并且我遇到了两种方法:使用自定义过滤器,使用元标记在此链接中实现过滤器请...

回答 2 投票 3

Chrome扩展程序 - 内容安全策略 - 执行内联代码

我在chrome扩展中使用外部JavaScript库。我有内联执行,所以我得到以下类型的错误(我在控制台上得到的错误)拒绝执行JavaScript URL,因为它...

回答 3 投票 14

WKWebview [警告] [已阻止] https://www.myurl.com上的页面不允许显示来自mycustomscheme的不安全内容://?path = somepath

我最近在我的混合应用程序中将我的UIWebview替换为WKWebview。我正在使用自定义方案从应用程序的本机部分加载图像,因为Apple在此处推荐:https://developer.apple ....

回答 4 投票 2

如何为Web Workers设置Content-Security-Policy以在Edge / Safari中工作?

我一直在回复错误代码:18,尝试使用Web Worker时来自Edge和Safari的SecurityError。然而,工作人员在Firefox / Chrome中很好。我正在使用一个内联工作者,我通过零-...

回答 1 投票 5

Chrome扩展程序获取API - 内容安全策略

我的chrome扩展应该通过HTTP请求从第三方API获取一些远程资源。 const getBoards = callback => {fetch(“https://gloapi.gitkraken.com/v1/glo/boards”,{credentials:...

回答 1 投票 1

axios请求获取连接EHOSTUNREACH错误。响应头得到default-src'self'

嘿,我正在使用快递的SSR应用程序。当请求命中时,渲染服务器(在localhost:3000上运行)向api服务器(在localhost:3001上运行)发送请求以获取初始用户的会话存储。但......

回答 1 投票 -1

如何在Spring中添加HTTP“Feature-Policy”标头

我需要添加HTTP“Feature-Policy”响应头但是我没有找到任何方式在Spring中实现这个头文件 - @EnableWebSecurity public class WebSecurityConfig extends ...

回答 1 投票 2

拒绝加载脚本'xyz.js',因为它违反了ChromeDriver Chrome无头Selenium的以下内容安全策略指令

我正在使用无头镀铬运行selenium并且因错误而无法加载图像,因为它违反了以下内容安全策略指令。我正在解析第三方网址。所以呢 ...

回答 1 投票 0

Cordova与$ .getJSON API一起出现问题

我正在使用Cordova为大学项目开发 应用程序,所以这是我第一次使用它。作为其中的一部分,我已经设法从Reed Jobs实现了一个API,这在......

回答 1 投票 0

CSP安全的ES6模板文字

是否有模板引擎可以解析ES6模板文字样式的模板(例如“string $ {var}”)而不违反脚本评估的内容安全策略(CSP)限制? ...

回答 2 投票 6

© www.soinside.com 2019 - 2024. All rights reserved.