内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'
这是我的 gatsby-plugin-csp 配置: { 解析:`gatsby-plugin-csp`, 选项: { 禁用OnDev:真, reportOnly: false, // 将标头更改为 Content-Security-Policy-R...
Gatsby,拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'
这是我的 gatsby-plugin-csp 配置: { 解析:`gatsby-plugin-csp`, 选项: { 禁用OnDev:真, reportOnly: false, // 将标头更改为 Content-Security-Policy-R...
拒绝加载样式表 blob:https://url,因为它违反了 CSP 指令:style-src 'self' *.url unsafe-inline unsafe-eval,因此 style-src
屏幕方向不好我尝试了一些元标签,但它不起作用 我不明白是前端错误还是服务器端错误 屏幕方向不好我尝试了一些元标签,但它不起作用 我不明白是前端错误还是服务器端错误 首先,您似乎在元标记中添加了一项策略,而另一个策略正在限制您的内容。添加另一项政策只会使总体政策更加严格。您将需要修改现有政策以放宽限制。当您确定了它的设置方式后,您需要将“blob:”添加到 style-src。
Content-Security-Policy 不允许样式加载和阻止功能(Angular 13)
我有这个 Angular 应用程序(Angular 13),我用它来使用 firebase 验证电子邮件。它在本地主机(也在谷歌云平台)中工作正常,但是当我为其添加元指令时,它停止显示任何
apache 2 script-src 内容安全策略中的权限问题
我需要为客户实施内容安全策略。 除了 js 脚本之外,一切都运行良好。我需要允许外部 js 脚本。 我的虚拟主机 apache 中的代码: 标头设置 X-Content-Type-
控制台中出现以下错误。 内容安全策略指令“object-src”的源列表包含无效源:“https://*.hereapi.com'none”。它将被忽略。 下面的代码conf...
我正在尝试使用 Microsoft 的客户端验证以及内容安全策略 在我的 ASP Net Core (v3.1) razor 视图中,我有以下内容: 我正在尝试使用 Microsoft 的客户端验证以及内容安全策略 在我的 ASP Net Core (v3.1) razor 视图中,我有以下内容: <div asp-validation-summary="All" class="text-danger"></div> 首次呈现页面时,我得到一个没有文本的列表项,只有红点。 HTML 已被客户端验证 javascript (jquery-validation) 更改: <div class="text-danger validation-summary-valid" data-valmsg-summary="true"> <ul> <li style="display:none"></li> </ul> </div> 我的内容安全策略(CSP)阻止内联样式,因此内联样式显示:无不起作用,因此出现红点。 我发现了不安全哈希并将我的 CSP 更改为: style-src 'self' 'unsafe-hashes' 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='; 不幸的是,虽然这在 Chrome、Firefox 和 Edge 中有效,但在我的 iPhone (iOS 14.5) 或 Mac Mini (v11.2.3) 上的 Safari 中却不起作用 任何人都可以建议修复 Safari,或者如何更改 Microsoft 客户端验证以不使用内联样式吗? 任何人都可以建议修复 Safari Safari 不支持“不安全哈希”,也不支持style-src,也不支持script-src。目前只有一种使用“不安全哈希”的方法: style-src '不安全内联'; style-src-attr '不安全哈希' 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='; Chrome 将遵循 style-src-attr 指令,其他浏览器(Safari/Firefox/Edge)不支持它,并将使用“style-src”中的“unsafe-inline”。 如何更改 Microsoft 客户端验证以不使用内联样式? style="display:none"是由jQuery验证器通过.attr()方法添加的,该方法在内部调用setAttribute("style", ...)。 CSP 将 setAttribute(style) 调用视为内联样式,而 element.style.property = 'prop_value' 不被视为 内联样式。 因此,任务是将 setAttribute("style") 调用更改为一组等效的 element.style.property 调用。 jQuery 有一个特殊的 plugin,可以通过将 .attr() 方法替换为安全的 el.style.property 调用来修复内联样式。 或者,您可以使用粗略的 hack 以相同的方式修复任何 JS 库。 这是一个已知问题。 aspnetcore/问题/43714 标记帮助程序 asp-validation-summary="All" 呈现此: <div class="text-danger validation-summary-valid" data-valmsg-summary="true"> <ul> <li style="display:none"> @*CSP problem*@ </li> </ul> </div> 解决方法:仅当有内容要显示时才使用标签助手。 @if (ViewData.ModelState.ErrorCount > 0) { <div asp-validation-summary="All" class="text-danger"></div> } 我需要更新一个已有 10 年历史的网站以提高安全性。我没有参与该网站的创建,它广泛使用了 mvc 验证,所以我需要一个轻量级的解决方案......即使它有点 hacky。 为了安抚 CSP,我简单地从返回的 html 中删除了样式文本: public static MvcHtmlString ValidationSummaryCSP( this HtmlHelper htmlHelper, bool excludePropertyErrors = false) { var helper = htmlHelper.ValidationSummary(excludePropertyErrors); var retVal = new Regex("style=\"[^\"]*\"").Replace(helper.ToHtmlString(), ""); return MvcHtmlString.Create(retVal); }
如何将 X-Frame-Options: DENY 添加到 Angular azure 应用程序服务器?
如何以及在何处将“X-Frame-Options:DENY”添加到我们的网络应用程序服务中? 我们正在使用 azure 应用程序服务(基于 Linux),前端是使用 Angular 13+ 构建的 如何以及在何处实施“X-
请注意,“frame-src”未明确设置,因此“default-src”用作后备
我尝试添加frame-scr,因为它说“请注意,'frame-src'未明确设置”: 这是我尝试添加的内容: 框架-src'自我'; frame-src“自身”数据:; 框架-src http://example...
我正在与第三方库(Chargebee)集成,并且收到内容安全违规错误。 据我所知,我的网页中没有定义 CSP,因为它不返回 CSP
如何在 Angular 16 中为动态创建的脚本和样式添加 nonce 属性?
我正在使用 Angular 16 在应用程序中添加 Content-Security-Policy 标头以避免 XSS 攻击。我在index.html中的标签中添加了ngCspNonce属性,并在服务器si上设置随机nonce值...
Chrome声称未设置内容安全策略指令frame-src,但它是XXXX
正如您在屏幕截图中看到的,我想通过 iFrame 加载页面。 XXXX 正如您在屏幕截图中看到的,我想通过 iFrame 加载页面。 <!doctype html> <html> <head> <title>XXXX</title> <meta http-equiv="Content-Security-Policy" content="frame-src apexXXXX.XXXXXXXX.net"> <link rel="stylesheet" href="style.css"> </head> <body> <iframe src="https://apexXXXX.XXXXXXXX.net/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"></iframe> </body> </html> 对我来说,无法理解为什么 Chrome 拒绝这样做。 即使我使用: <meta http-equiv="Content-Security-Policy" content="default-src *"> 出现相同的错误消息。当然,我也尝试了几个 http 前缀或尾部斜杠。我做错了什么? BR&谢谢! 约翰 (我花了几个小时阅读类似的帖子,所以不应该有重复) 发布@granty的评论作为答案,因为它很重要。 HTTP 标头或元标记都可以使用,不能同时使用不同的规则。 意思是,如果HTTP服务器添加了标头,元标记将不会覆盖它
如何在 Chrome 扩展程序中播放违反内容安全策略指令的外部音频文件?
我正在开发一个 Chrome 扩展程序,使用户能够将选定的文本发送到服务器,然后服务器将其转换为语音并返回 MP3 URL 进行播放。 然而,在某些网站上,我很喜欢...
CSP 中 src-script 指令中的 unsafe-inline 如何使网站遭受 XSS 攻击?
CSP 中 src-script 指令中的 unsafe-inline 如何使网站遭受 XSS 攻击?
ASP.NET CORE 拒绝构建“https://app.powerbi.com/”,因为它违反了以下内容安全策略指令:“default-src 'self'”
我正在尝试在我的 ASP.net core 应用程序(当前使用 IIS 运行)中构建 bi 报告。 在 Visual Studio 中运行时它工作正常,但是当我尝试通过 IIS 运行它时,我不断收到 “这个骗局...
嵌套在 JavaScript 中的内联事件处理程序 - 拒绝执行内联事件处理程序,因为它违反了以下内容安全策略
前言:属于所有已知或可识别的 Javascript 的哈希值已包含在 CSP 标头中。 当我单击自定义 Facebook 共享按钮时,出现以下错误: 拒绝执行...
拒绝加载字体“<URL>”,因为它违反了以下内容安全策略指令:“font-src 'none'”
我对这个错误有一个很大的问题,我似乎无法阻止它的显示。 *免责声明:我还是个大三,还在详细了解NextJS,所以如果有错误请原谅...
Next.js 中的内容安全策略 (CSP) - 如何将其传递到完整应用程序?
我在项目中使用 Next.js 和单独的 Express 后端,并希望实施内容安全策略 (CSP),并使用随机数,因为我知道这是最佳实践。 根据 next.js
我们在 SPA 上有两个 UI,一个是应用程序本身,另一个是登录 UI。应用程序调用我们的几个后端服务,主要是 API。渗透测试表明我们必须添加 CSP 标头。 奇怪的是在测试中...
我们有 2 个位于不同域的网站。为了简单起见,我们假设它们是: “App”:运行在 main-app.com/app 上的 SPA 应用程序 “Host”:一个运行在ra上的简单index.html页面...