content-security-policy 相关问题

内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。

如何在 Cordova 中正确定义 Content-Security-Policy?

我已经为我的 Cordova 应用程序定义内容安全策略而苦苦挣扎了几天。 我的第一个问题是:我必须在 Cordova 中添加 CSP 吗?看起来 Cordova 为 C 添加了元标记...

回答 3 投票 0

来自 @stripe/stripe-js 的 loadStripe 会导致 FireFox 中使用 NextJS 出现 CSP 错误

我有一个用 NextJS 编写的应用程序。我需要运行以下代码来连接到条带进行事务,但当我将其添加到任何位置时,它会在 FireFox 中引发多个警告。代码仍然有效,但是......

回答 1 投票 0

内容安全策略 Firebase

我在 CSP 和 Firebase 方面遇到问题。在我的 index.html 中,我包含了以下内容: 我对 CSP 和 Firebase 有疑问。在我的 index.html 中,我包含了以下内容: <meta http-equiv="Content-Security-Policy" content="style-src 'self'; script-src 'self' https://cdn.firebase.com https://www.gstatic.com;"> 这些脚本是从其他域加载的: https://www.gstatic.com/firebasejs/4.0.0/firebase.js https://cdn.firebase.com/libs/angularfire/2.3.0/angularfire.min.js 我在控制台中仍然收到一些错误。 内容安全策略:页面的设置阻止加载 自身资源(“script-src http://server https://cdn.firebase.com https://www.gstatic.com")。来源:调用 eval() 或相关函数 被 CSP 阻止。 内容安全策略:页面的设置阻止加载 自身资源(“style-src http://server”)。来源:@charset "UTF-8";[ng:斗篷],[ng-斗篷],.... 你能帮忙吗? 我在 Ionic 中遇到了同样的问题,除了 linsk 之外,我还在 script-src 中添加了 'unsafe-inline' 'unsafe-eval' 。它对我有用。如果我们为您的要求举例: <meta http-equiv="Content-Security-Policy"content="style-src 'self'; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://cdn.firebase.com https://www.gstatic.com;"> 我遇到同样的问题可能已经有 5 个小时了。 现在,经过多次尝试和错误,我最终使用了 <meta http-equiv="Content-Security-Policy" content=" connect-src * 'self'; default-src 'self'; script-src 'self' https://cdn.firebase.com https://*.firebaseio.com https://www.gstatic.com/gtag/ https://www.gstatic.com/firebasejs/; object-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' https://fonts.gstatic.com; frame-src 'self' https://*.firebaseio.com; "> 现在可以了。另一个人在另一篇文章中写道,执行 connect-src * 'self';是他问题的解决方案。我使用了它,并与 ChatGTP 结合使用,我采用了该解决方案。我希望这对你有帮助

回答 2 投票 0

CSP:框架祖先失败

我在 IIS 托管网站上遇到了一个奇怪的问题。该网站有两个绑定。我们称它们为 https://abc.xxx.com 和 https://def.yyy.com。 我为 CSP 设置了以下内容 内容安全政策:...

回答 1 投票 0

hotjar 由于 csp 问题无法收集数据

我尝试在我的 nextjs 项目中使用 hotjar,但它不断在控制台中给出以下错误: 拒绝连接到“wss://ws.hotjar.com/api/v2/client/ws?v=5”,因为它违反了以下规则

回答 1 投票 0

iFrame 内容拒绝仅在 iOS 浏览器上加载 - 即使发布了内容安全策略 (CSP) 框架祖先指令

我正在一个简单的内容管理系统中创建一个网站(站点A)。由于 CMS 无法与我的数据服务器交互,因此我在另一个 Web 服务器(站点 B - 子域)上托管了一些 Web 内容。

回答 1 投票 0

在 Chrome 扩展中将变量从页面传递到内容脚本

我正在开发一个 Chrome 扩展,它需要我从 YouTube 视频中获取字幕文件,然后进行一些处理。我已设置了所有逻辑来执行此操作,但指向

回答 1 投票 0

将 CSP 与使用 unsafe-eval 的库结合使用

我正在尝试在我的 Angular 项目中实现 CSP。我的 CSP 如下; script-src 'self' 'nonce-anything'; style-src 'self' 'nonce-anything' https://fonts.googleapis.com; font-src 'self' https://f...

回答 1 投票 0

内容安全策略在 Firefox 中不起作用

我们正在网站上添加内容安全策略,以防止外部来源使用我们自己以外的 IFrame。 我们使用 .NET,并在 web.config 中包含以下内容来执行此操作。 &l...

回答 1 投票 0

根据office uri方案配置内容安全策略

我正在尝试为 Java Web 应用程序配置内容安全策略。 我目前正在重写 Webapplication 的 init 方法,如下所示: 最终 CSPHeaderConfiguration cspHeaderConfigur...

回答 1 投票 0

ASP.net 表单中的内容安全策略错误

我们正在尝试以asp.net形式实现CSP。将所有哈希添加到 CSP 标头可以解决大多数问题。但我们面临一些内联样式问题。 在 aspx 页面中,我们有如图所示的标签...

回答 1 投票 0

Content-Security-Policy 指令“default-src”包含关键字“none”以及其他源表达式

当我提交 pxpay Windcave 凭据时,在下面的控制台中出现错误。为什么? Content-Security-Policy 指令“default-src”包含关键字“none”以及其他源表达式...

回答 1 投票 0

CSS 模块样式被 CSP 阻止,而 style-src 指令没有不安全内联

我有一个使用 CRA 创建的 React 应用程序,我正在使用 CSS 模块来设置组件的样式。 我创建带有 .module.css 前缀的 CSS 文件。示例:组件名称.module.css 然后我导入 CSS ...

回答 2 投票 0

浏览器是否会忽略从 React 设置样式属性的 style-src CSP 指令?

我正在为我的网络应用程序设置以下内容安全策略指令: style-src 'self' 'nonce-{NONCE_GOES_HERE} 。我希望不应用内联样式(使用样式属性添加)。 ...

回答 1 投票 0

CSP style-src-directive 与 Vue/Vite

我正在尝试为使用 Vue + Vite 作为前端的 Web 应用程序实现内容安全策略(CSP)。据我了解,Vue/Vite 生成的 javascript 代码通常符合...

回答 1 投票 0

允许通过 HTTPS 加载 HTTP 资源

假设我的网站通过 HTTPS,并且我需要从 HTTP 加载 CSS 或对象资源,我该怎么做? 请注意,我可以将 Content-Security-Policy 添加到响应标头中...

回答 2 投票 0

为什么通过标头传递内容安全策略是“首选”?

在 3.CSP 策略交付中,它说 Content-Security-Policy HTTP 响应标头字段是传递策略的首选机制 但有两种有效的机制,通过 H 传递...

回答 2 投票 0

PayPal API CSP 阻止 SDK 加载

我正在尝试在我的网站上使用 PayPals API 集成,但是每当我尝试加载页面时,我都会收到“拒绝应用内联样式,因为它违反了以下内容安全政策...

回答 1 投票 0

Google Fonts 使用 ASP.NET 违反了内容安全政策

我正在尝试在 .NET api 项目中配置内容安全策略,当我运行 dotnet watch 时,我在控制台中收到错误。 我有 .NET 7.0 ASP.NET Web API 和 React 客户端。 我读过很多...

回答 1 投票 0

此处 Safari 浏览器上的地图 CSP 错误:无法加载 blob

我正在开发一个集成了 JAVASCRIPT HERE MAPS SDK 的网页,到目前为止该网页运行良好。出于安全原因,我们现在在网站中引入了 CSP。从那以后,HERE 地图就不再工作了...

回答 1 投票 0

© www.soinside.com 2019 - 2024. All rights reserved.