APIM 管理内容安全策略设置未按预期工作

问题描述 投票:0回答:2

我有 APIM 管理,许多 API 已导入并正在运行。我发布了 APIM 开发人员门户,其中包含内容安全策略设置,仅允许受信任的资源。 从那时起,我无法从开发人员门户执行任何 API,而我之前可以通过禁用 CSP 设置来执行此操作。

我尝试了不同的选项,但仍然被阻止。每次更改设置时我都会发布。有人可以帮我吗

content-src 'self' https://contoso-apim.developer.azure-api.net

connect-src 'self';

从网络浏览器,控制台日志:

azure content-security-policy azure-api-management apim
2个回答
0
投票

我已启用内容安全策略,并在允许的资源主机名中添加了以下行。

script-src 'self' https://****.developer.azure-api.net https://*****.azure-api.net 'unsafe-inline' 'unsafe-eval';

enter image description here

进行更改后,我发布了开发者门户。然后我使用 APIM 开发者门户测试 Echo API 并得到了预期的响应。

enter image description here

0
投票

您已将 ...-apim.developer.azure-api.net 包含在您的 CSP 中,而违规行为发生在 ...-apim.azure-api.net 上。您可能需要包含有或没有开发人员的主机名,以覆盖所有环境或使其特定于环境。

另请注意,配置源的方式,img-src 最终作为 default-src 的源,而不是作为单独的指令,它前面应该有一个分号。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.