内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。
Content-Security-Policy 阻止调用而不考虑指令
我将当前指令配置为 script-src 'self' https://testcdn-a.akamaihd.net 'unsafe-inline' style-src 'self' https://testcdn-a.akamaihd.net 'unsafe-inline' 我已经设置好添加 Cont...
Content Security Policy header 是怎么回事?
所以我有一个外部网络安全公司的客户标记了内容安全策略标头没有 default-src 并且它不应该是内联等只有升级不安全的要求...
使用 ajax 从 HTTP 请求执行 javascript 的 CSP 问题
使用“严格动态”适用于 CHROME,但不适用于 FIREFOX。 使用火狐: 使用“self”时,只会加载我的脚本文件。但是来自 ajax 的 javascript 代码被拒绝了。 用'strict-dynamic'我的屏幕...
Create React App - 阻止 Google Maps API 的内容安全策略
我正在使用 Create React App 和 Google Maps API (react-google-maps-api)。由于与内容安全策略相关的错误,地图组件无法正常工作。 我做了一些事情来尝试解决...
通过启动板的“管理站点”访问的“站点设置”页面现在允许启用“异步模块加载”。 但是一旦启用,一些 SAPUI5
我正在嵌入一个使用 .NET 6 React 模板构建的 React-.NET 6 webapp。当我运行该应用程序时,React UI 呈现良好。但是,当我将指向已部署的 webapp 的链接放在 iframe 中时,这样...
在具有严格内容安全策略的页面上与 Chrome 扩展中的自定义 Web 组件交互
我正在制作一个 Chrome 扩展程序,它需要与第三方网页上的自定义 Web 组件(自定义复选框)进行交互。我需要从我的内容中访问元素的属性和方法
无法使用 Google 地图 API 实施严格的内容安全策略
对于 maps.googleapis.com 的 common.js 文件,我在 chrome 开发者工具的控制台中多次出现以下错误- 常见的.js:15 拒绝应用内联样式,因为它违反了以下...
来自 *.demdex.net 和 *.tt.omtrdc.net 的 CSP 违规,而这些域在白名单中
我在页面上设置 CSP 标头时遇到问题,根据 https://docs.adobe.com/content/help/en/id-service/using/reference/csp.html 我已经添加了相关的域名...
为什么 vortex.data.microsoft.com 使用我的 CSP?
我有一个 Web 应用程序,它使用自定义 Web 协议 my-webpcl:// 来启动本地应用程序。本质上,一个 .exe 从 HTML 页面启动,与 Valve 与 Steam steam:// Br ...
出于某种原因,Chrome(或者至少是我的 Chrome)没有报告 CSP 违规行为。它正确地拒绝显示禁止的内容,但不报告违规行为。相比之下,Firefox
WebKit .pdf 显示似乎需要具有“不安全内联”样式的 CSP
我为一个非营利组织维护一个小型网站。可以在网站上查看多个 .pdf。 我在当前版本的 Safari (v. 1...
Jekyll:是否可以在 CSS 文件中使用 Liquid 标签? (回复:内容安全政策合规性)
在 Jekyll 页面中,我有以下内联样式: 在 Jekyll 页面中,我有以下内联样式: <div class="myClass" style="background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %}); height:320px;"></div> 为了防止任何 CSP 违规/错误,在标头中,我将 CSP 设置如下: style-src 'self' 'unsafe-hashes' 'sha256-GlN6IkeSF4fF9C8zesLvRQRzAe2/ztqCm4T50cOnYvY=' 但是我在谷歌浏览器和微软Edge等少数浏览器中仍然收到以下警告: 不应使用 CSS 内联样式,将样式移动到外部 CSS 文件 因此,我尝试将内联样式移动到外部CSS文件如下: 在 CSS 文件的开头添加了一个空的 YAML 块 添加了以下包含 Liquid 标签的 CSS 样式: .myClass { background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %}); height:320px; } 但是,添加到CSS文件中的Liquid标签没有被处理。事实上,在生成的 HTML 页面中,我没有看到背景图像相应地没有显示在页面上。 我希望相应地看到背景图像。 是否可以将内联样式和那些 Liquid 标签正确移动到外部 CSS 文件? 因为 CSS 文件是静态文件,所以不可能在外部 CSS 文件中使用 Liquid 标签。 解决方法一:可以将内联样式移到HTML文件头部,使用Jekyll的样式标签 <head> <style> .myClass { background-image: url( {% if latest_post.image contains "://" %} {{ latest_post.image }} {% else %} {{site.baseurl}}/{{ latest_post.image }} {% endif %} ); height: 320px; } </style> </head> <body> <div class="myClass"></div> </body> 解决方法 2:您可以使用 JavaScript 来应用动态样式。这确保在将 CSS 代码添加到文档之前处理 Liquid 标签。 <head> <style> .myClass { height: 320px; } </style> <script> window.onload = function() { var latest_post_image = '{{ latest_post.image }}'; var site_baseurl = '{{ site.baseurl }}'; var myClassElements = document.querySelectorAll('.myClass'); for (var i = 0; i < myClassElements.length; i++) { var backgroundImageUrl = latest_post_image.includes("://") ? latest_post_image : site_baseurl + '/' + latest_post_image; myClassElements[i].style.backgroundImage = 'url(' + backgroundImageUrl + ')'; } } </script> </head> <body> <div class="myClass"></div> </body>
我们有一个当前部署在客户网站上的 iframe。我们使用 CSP frame-ancestors 指令来限制 iframe 的部署方式和位置。例如: 内容安全政策:
Jekyll:如何在 CSS 文件中正确使用 Liquid 标签(内联样式和内容安全策略合规性)
在 Jekyll 的 HTML 页面中,我有以下内联样式: 在 Jekyll 的 HTML 页面中,我有以下内联样式: 为了防止任何 CSP 违规/错误,在标头中我将 CSP 设置如下: style-src 'self' 'unsafe-hashes' 'sha256-GlN6IkeSF4fF9C8zesLvRQRzAe2/ztqCm4T50cOnYvY=' 但我仍然在一些浏览器(例如 Google Chrome 和 Microsoft Edge)中收到以下警告: 不应使用 CSS 内联样式,将样式移动到外部 CSS 文件 因此,我尝试将内联样式移动到外部 CSS 文件,如下所示: 在 CSS 文件的开头添加了一个空的 YAML 块 添加了以下包含 Liquid 标签的 CSS 样式: .myClass { background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %});高度:320px; } 但是,添加到CSS文件中的Liquid标签没有被处理。事实上,在生成的 HTML 页面中,我只看到以下空的 HTML 标记,并且背景图像相应地没有显示在页面中。 < div class="myClass">< /div> 我希望根据 CSS 配置看到背景图像。 是否可以将内联样式和那些 Liquid 标签正确移动到外部 CSS 文件?
Jekyll:如何在 CSS 中正确使用液体(内联样式和内容安全策略合规性)
在 Jekyll 的 HTML 页面中,我有以下内联样式: 在 Jekyll 的 HTML 页面中,我有以下内联样式: 为了防止任何 CSP 违规/错误,在标头中我将 CSP 设置如下: style-src 'self' 'unsafe-hashes' 'sha256-GlN6IkeSF4fF9C8zesLvRQRzAe2/ztqCm4T50cOnYvY=' 但我仍然在一些浏览器(例如 Google Chrome 和 Microsoft Edge)中收到以下警告: 不应使用 CSS 内联样式,将样式移动到外部 CSS 文件 因此,我尝试将内联样式移动到外部 CSS 文件,如下所示: 在 CSS 文件的开头添加了一个空的 YAML 块 添加了以下包含 Liquid 标签的 CSS 样式: .myClass { background-image: url({% if latest_post.image contains "://" %}{{ latest_post.image }}{% else %} {{site.baseurl}}/{{ latest_post.image}}{% endif %});高度:320px; } 但是,添加到CSS文件中的Liquid标签没有被处理。事实上,在生成的 HTML 页面中,我只看到以下空的 HTML 标记,并且背景图像相应地没有显示在页面中。 < div class="myClass">< /div> 我希望根据 CSS 配置看到背景图像。 是否可以将内联样式和那些 Liquid 标签正确移动到外部 CSS 文件?
在 Angular 通用应用程序中创建 csp 可信类型策略
我想知道如何在服务器上创建受信任类型的默认策略。我试过安装受信任类型的 npm 包并创建这样的策略 const tt=require('可信类型'); tt.
我的 CSP 规则非常简单/标准: content-security-policy: default-src 'self' https: 'unsafe-inline' https://www.googleapis.com https://api.dropboxapi.com https://content.dropboxapi.com;img .. .
如何在我的 Angular 通用应用程序中使用节点服务器中的可信类型
我试图在节点服务器中为任何角度应用程序创建一个策略,但似乎导入可信类型模块的方式有问题。 我就是这样做的 常数 tt =
Laravel CSP(内容安全策略)frontegg ui 集成问题
https://github.com/spatie/laravel-csp https://github.com/frontegg/frontegg-vue 我需要帮助, 在我添加了 laravel csp 之后,前面的 egg vue 登录页面无法正常工作。 拒绝应用内联样式是...