内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。
在我们的网站上,来自广告提供商的外部脚本(均为 Javascript)偶尔会将用户导航到某些恶意软件网站。 任何 JS 代码都可以从广告提供商加载(例如,有时它会创建一个 ifr...
我在 Laravel 应用程序中集成 Checkout Plus 支付网关时遇到问题。在执行 JS 代码时,我遇到 CSP 错误。 拒绝框架“https://test.payu.in/”因为...
我已经在nodejs中设置了内容安全策略(CSP),并且它正在应用于node。但是,对于根 html 页面,未应用 CSP。如何借助nodejs应用在html上......
我使用 webpack 5 和 HtmlWebpackPlugin 来构建我的前端 SPA。 我需要向 添加随机数属性 <question vote="0"> <p>我正在使用 webpack 5 和 <pre><code>HtmlWebpackPlugin</code></pre> 来构建我的前端 SPA。</p> <p>我需要将 <pre><code>nonce</code></pre> 属性添加到 <pre><code><script ...</code></pre> 注入的 <pre><code>HtmlWebpackPlugin</code></pre> 标签中。</p> <p>我该怎么做?</p> <p>额外问题:之后我在服务之前使用此页面作为 Thymeleaf 模板。如何注入<pre><code>nonce</code></pre>值?</p> </question> <answer tick="false" vote="0"> <p>如果您使用的是 webpack 4,海里有很多鱼——只需使用任何注入属性的插件,例如 <a href="https://github.com/numical/script-ext-html-webpack-plugin" rel="nofollow noreferrer">script-ext-html-webpack-plugin</a> 或 <a href="https://github.com/dyw934854565/html-webpack-inject-attributes-plugin" rel="nofollow noreferrer">html-webpack-inject-attributes-plugin</a> </p> <p>但是,上面提到的大多数插件都不适用于 webpack 5。解决方法是使用 <pre><code>HtmlWebpackPlugin</code></pre> <a href="https://github.com/jantimon/html-webpack-plugin#writing-your-own-templates" rel="nofollow noreferrer">templates</a>。</p> <ol> <li>将<pre><code>inject</code></pre>中指定的<pre><code>false</code></pre>选项中的<pre><code>HtmlWebpackPlugin</code></pre>设置为<pre><code>webpack.config</code></pre>。</li> <li>在模板中添加以下代码,将所有生成的脚本插入到结果文件中:</li> </ol> <pre><code> <% for (key in htmlWebpackPlugin.files.js) { %> <script type="text/javascript" defer="defer" src="<%= htmlWebpackPlugin.files.js[key] %>"></script> <% } %> </code></pre> <ol start="3"> <li>在 <pre><code>script</code></pre> 中添加所有必要的属性。百里香示例:</li> </ol> <pre><code> <% for (key in htmlWebpackPlugin.files.js) { %> <script type="text/javascript" defer="defer" th:attr="nonce=${cspNonce}" src="<%= htmlWebpackPlugin.files.js[key] %>"></script> <% } %> </code></pre> <p>基于 <a href="https://github.com/jantimon/html-webpack-plugin/issues/538#issuecomment-270340587" rel="nofollow noreferrer">github 帖子</a></p>的答案 </answer> </body></html>
您能告诉我如何防止点击劫持攻击吗? 提前致谢。我在客户端使用纯 javascript,在服务器端使用 VBscript。 期待我应该添加哪个 x-frame-选项...
ASP.Net 表单 - Content-Security-Policy 随机数值不适用于内联脚本
net 空 webform 项目并添加 1 个按钮、1 个内联脚本(按钮中使用的 1 个函数)并为 Content-Security-Policy 设置声明 1 个元标记。 我的意图是想在我的...
我正在从事的项目是个人资料所有者应用程序。我想获取网络日志。我已成功启用 NetworkLogging 并通过
如何在 ASP.NET MVC 4 中为 CSP 使用动态随机数
我在 ASP.NET MVC 4 中开发了 MVC 应用程序。我在几个页面中使用了 javascript。一些 javascript 被引用为 @Scripts.Render(“~/Scripts/bootstrap”) @Scripts.Render("~/Sc...
Azure Application Insights 连接字符串
我的 App Insights 连接字符串包含两个 URL:IngestionEndpoint 和 LiveEndpoint,它们是不同的。鉴于我要将连接字符串添加到网站,我需要调整我的 CSP c...
Flask Talisman 让随机数开始工作。拒绝执行内联脚本,因为它违反了以下内容安全策略指令
我一直在尝试将 python3 插件 Flask_Talisman 实现到我当前的项目中。除了内容安全策略 (CSP) 之外,一切似乎都正常。问题是我需要脚本(
Microsoft Azure OpenAI API 中文内容过滤问题
我正在使用Azure的OpenAI API服务,最近发现它对中文内容的内容过滤太严格。使用中文的时候,无论怎么修改,都无法通过c...
我有一个内部网络应用程序。这是一个 webforms .net 4.x 应用程序。它使用 ajax 控制工具包以及 updatepanel。具体来说,它大量使用 tabcontainer/tabpanels...
如何在 Cordova 中正确定义 Content-Security-Policy?
我已经为我的 Cordova 应用程序定义内容安全策略而苦苦挣扎了几天。 我的第一个问题是:我必须在 Cordova 中添加 CSP 吗?看起来 Cordova 为 C 添加了元标记...
来自 @stripe/stripe-js 的 loadStripe 会导致 FireFox 中使用 NextJS 出现 CSP 错误
我有一个用 NextJS 编写的应用程序。我需要运行以下代码来连接到条带进行事务,但当我将其添加到任何位置时,它会在 FireFox 中引发多个警告。代码仍然有效,但是......
我在 CSP 和 Firebase 方面遇到问题。在我的 index.html 中,我包含了以下内容: 我对 CSP 和 Firebase 有疑问。在我的 index.html 中,我包含了以下内容: <meta http-equiv="Content-Security-Policy" content="style-src 'self'; script-src 'self' https://cdn.firebase.com https://www.gstatic.com;"> 这些脚本是从其他域加载的: https://www.gstatic.com/firebasejs/4.0.0/firebase.js https://cdn.firebase.com/libs/angularfire/2.3.0/angularfire.min.js 我在控制台中仍然收到一些错误。 内容安全策略:页面的设置阻止加载 自身资源(“script-src http://server https://cdn.firebase.com https://www.gstatic.com")。来源:调用 eval() 或相关函数 被 CSP 阻止。 内容安全策略:页面的设置阻止加载 自身资源(“style-src http://server”)。来源:@charset "UTF-8";[ng:斗篷],[ng-斗篷],.... 你能帮忙吗? 我在 Ionic 中遇到了同样的问题,除了 linsk 之外,我还在 script-src 中添加了 'unsafe-inline' 'unsafe-eval' 。它对我有用。如果我们为您的要求举例: <meta http-equiv="Content-Security-Policy"content="style-src 'self'; script-src 'self' 'unsafe-eval' 'unsafe-inline' https://cdn.firebase.com https://www.gstatic.com;"> 我遇到同样的问题可能已经有 5 个小时了。 现在,经过多次尝试和错误,我最终使用了 <meta http-equiv="Content-Security-Policy" content=" connect-src * 'self'; default-src 'self'; script-src 'self' https://cdn.firebase.com https://*.firebaseio.com https://www.gstatic.com/gtag/ https://www.gstatic.com/firebasejs/; object-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' https://fonts.gstatic.com; frame-src 'self' https://*.firebaseio.com; "> 现在可以了。另一个人在另一篇文章中写道,执行 connect-src * 'self';是他问题的解决方案。我使用了它,并与 ChatGTP 结合使用,我采用了该解决方案。我希望这对你有帮助
我在 IIS 托管网站上遇到了一个奇怪的问题。该网站有两个绑定。我们称它们为 https://abc.xxx.com 和 https://def.yyy.com。 我为 CSP 设置了以下内容 内容安全政策:...
我尝试在我的 nextjs 项目中使用 hotjar,但它不断在控制台中给出以下错误: 拒绝连接到“wss://ws.hotjar.com/api/v2/client/ws?v=5”,因为它违反了以下规则
iFrame 内容拒绝仅在 iOS 浏览器上加载 - 即使发布了内容安全策略 (CSP) 框架祖先指令
我正在一个简单的内容管理系统中创建一个网站(站点A)。由于 CMS 无法与我的数据服务器交互,因此我在另一个 Web 服务器(站点 B - 子域)上托管了一些 Web 内容。
我正在开发一个 Chrome 扩展,它需要我从 YouTube 视频中获取字幕文件,然后进行一些处理。我已设置了所有逻辑来执行此操作,但指向
我正在尝试在我的 Angular 项目中实现 CSP。我的 CSP 如下; script-src 'self' 'nonce-anything'; style-src 'self' 'nonce-anything' https://fonts.googleapis.com; font-src 'self' https://f...