内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。
我收到报告称我们的 CSP 策略正在阻止看起来不应该阻止的域。 被阻止的 uri:https://uploads..... 有效指令:img-src 原始策略:img-src'self'https:b...
为什么 CSP script-src unsafe-inline 会在我的 Angular Web 应用程序上引发样式问题?
问题: 当我尝试删除 script-src CSP 的不安全内联源时,我的 Angular Web 应用程序不再工作。 这个问题的根本原因是什么? 在 Angular@12+ 中使用 SCSS 时,Angular 添加一个
我的响应标头中有如下内容安全策略: 内容安全策略: 框架祖先“无”; script-src 'self' 'nonce-ABC123' https://platform.twitter.com;对象-src'无';
我正在使用 Node.js 开发 Web 应用程序,并面临内容安全策略 (CSP) 问题。浏览器控制台抛出以下错误: 拒绝执行内联脚本,因为它 vi...
我实际上正在尝试在我的 Laravel/Inertia 项目中添加 CSP。 我安装了 spatie/laravel-csp 包并使用 Vite::useCspNonce(); 生成随机数; 我还在我的 main 中设置了 csp_nonce 元属性...
我正在寻找一种好方法来为我的 ASP.NET WebForms 应用程序实现相对强大的 Content-Security-Policy 标头。我在文件中存储尽可能多的 JavaScript,而不是内联...
我在我的网站上使用 CSP 来尽可能保持锁定状态。我的网站上有一个 HTML 编辑器,我希望允许用户从颜色选择器中选择文本颜色。这涉及...
我正在制作一个谷歌浏览器扩展,我想在其中使用谷歌地图。问题是当我运行我的脚本时它给了我这个错误 拒绝从“https://maps.googleapis.com...
在我的 Ionic 应用程序中,我添加了人行横道以获得更好的 Android 性能。但如果我运行该应用程序,我会收到此错误: 无法识别的内容安全策略指令“script-src:”。 我的C...
为什么 https://localhost:4321/temp/workbench.html 在使用 gulpserve 执行 SharePoint 项目时不起作用
当我执行 gulpserve 时,它应该加载它所做的共享点端和本地主机工作台,但最后一个给出了我不知道如何解决的 CSP 错误。 这是错误: 拒绝我...
Azure App Insights JS 脚本由 Azure 应用服务自动注入,并被内容安全策略阻止。怎么解锁?
我们正在开发一个运行 .NET 8 的 ASP.NET Core MVC 应用程序。它通过 Azure 应用服务部署在 Azure 上。我们已在应用程序中实施内容安全策略并已分配...
经过渗透测试,他们发现我需要将沙箱指令添加到内容安全策略中。 我有一个 4 框架的页面 经过渗透测试,他们发现我需要将沙箱指令添加到内容安全策略中。 我有一个 4 框架的页面 <frameset rows="35,*,20" framespacing="0" border="0" frameborder="no"> <frame name="testata" scrolling="no" noresize src="top.asp" id="testata"> <frameset cols="260,*" id="framesetCentrale"> <frame name="funzioni" src="menu.asp" scrolling="auto" class="bordofrmdestra" id="funzioni"> <frame name="visualizza" src="visualizza.asp" scrolling="auto" id="visualizza"> </frameset> <frame name="fondo" scrolling="no" noresize src="fondo.asp" id="fondo"> <noframes> <body> <p>La pagina corrente utilizza i frame. Questa caratteristica non è supportata dal browser in uso. Aggiornate il vostro browser.</p> </body> </noframes> </frameset> 如果我添加此指令,我无法单击框架 Visualizza 上的 td 来刷新框架 funzioni、Visualizza (本身)和 Fondo。 执行此操作的脚本位于框架可视化页面中: $(document).on('click','#tabellaArchivi td', function() { archivio = $(this).attr("id"); //parent.funzioni.location='menu.asp?sceltaarch=1&arc='+ archivio; window.top.funzioni.location='menu.asp?sceltaarch=1&arc='+ archivio; window.top.visualizza.location='visualizza.asp?arc='+ archivio; window.top.fondo.location='fondo.asp?paginafunzioni=menu.asp?sceltaarch=1$arc='+ archivio +'&paginavisualizza=visualizza.asp?arc='+ archivio; }); 尝试了两种方法(parent.funzioni 或 window.top.funzioni)来刷新框架但不起作用。 当我点击 td 时,我收到了 visualizza.asp:26 Unsafe attempt to initiate navigation for frame with URL 'http://localhost/login/menu.asp' from frame with URL 'http://localhost/login/visualizza.asp'. The frame attempting navigation is sandboxed, and is therefore disallowed from navigating its ancestors. (anonimo) @ visualizza.asp:26 dispatch @ jquery.js:2 v.handle @ jquery.js:2 visualizza.asp:26 Uncaught SecurityError: Failed to set the 'href' property on 'Location': The current window does not have permission to navigate the target frame to 'menu.asp?sceltaarch=1&arc=2-SILF Finanziamenti'. at HTMLTableCellElement.<anonymous> (visualizza.asp:26:31) at HTMLDocument.dispatch (jquery.js:2:40035) at v.handle (jquery.js:2:38006) 我的实际 CSP,对于所有框架来说是: frame-ancestors 'self'; default-src 'self'; script-src 'self' 'report-sample' 'nonce-****'; style-src 'self' 'report-sample' 'nonce-****'; object-src 'none'; frame-src 'self'; child-src 'self'; img-src 'self'; font-src 'self'; connect-src 'self'; manifest-src 'none'; base-uri 'self'; form-action 'self'; media-src 'self'; worker-src 'none'; upgrade-insecure-requests; report-uri https://xxx.report-uri.com/r/d/csp/reportOnly; report-to https://xxx.report-uri.com/r/d/csp/reportOnly; sandbox allow-scripts allow-popups allow-forms allow-modals allow-same-origin allow-top-navigation allow-top-navigation-by-user-activation allow-popups-to-escape-sandbox; 我尝试在没有成功的情况下添加沙箱的所有值,尝试在javascript代码中使用window.top.framename而不是parent.framename 我希望我可以刷新另一个框架。我的问题有解决办法吗?预先感谢 CSP 会阻止主页正确加载框架。因此,您需要通过将 iframe 的域添加到主页 CSP 的 frame-src 部分来编辑主页的 CSP。相反,您尝试编辑 iframe 的 CSP。 除此之外,您还需要编辑 iframe 页面的 CORS 标头,请参阅 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS,特别是 Access-Control-Allow -起源,请参阅https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin
Content-Security-Policy:哪个来源的约束最严格?
上下文 我在页面上有这个 CSP(在 vite React 应用程序中): 框架-src http://localhost:3080; style-src 'self' '不安全内联' http://localhost:3080 在页面上,来自 http://localhost:3080 的 iframe 是
CSP 无法按预期工作(它允许 React SPA 在设置为“none”时加载内容)
SPA & 网络截图 我有一个 React SPA,只有一个对我的 Node.js + Express 服务器的请求,其标头“Content-Security-Policy”设置为 default-src“none”。虽然它仍然加载
内容安全策略框架的祖先。 iOS10 中 iframe 无法加载内容
我们的 Cordova 应用程序不会在 iOS 10 上加载 iframe 内容。 我们有一些 iframe 显示应用程序内网页中的某些信息,因此我们不必复制它们。 效果很好...
针对 pwm-image.trendmicro.com(趋势科技密码管理器)的 CSP 报告框架-src 请求 - 我应该允许吗?
在我们的 CSP 日志记录报告中,我看到来自趋势科技密码管理器的frame-src 请求。以前有人遇到过这个吗? 框架-src pwm-image.trendmicro.com
我正在开发一个 React 应用程序,我正在尝试集成 keywords.js 以实现视觉效果。虽然一切在我的本地开发环境中都运行良好,但我遇到了内容
CSP 报告卡巴斯基实验室注入代码 - 封锁会产生什么影响?
我正在更新我们网站之一的 CSP,并使用仅报告模式监控用户的流量。 我注意到卡巴斯基实验室正在我们的应用程序页面中注入代码。 我想知道...
使用 Apache 2.4 生成随机数(用于内容安全策略标头)
我们正在努力创建严格的内容安全策略(https://csp.withgoogle.com/docs/strict-csp.html),这需要 Apache 在每次请求资源时创建一个随机数,以便我们。 ..
我按照此处的建议添加了内容安全策略:https://www.electronjs.org/docs/tutorial/security#6-define-a-content-security-policy 和此处:https://content -security-policy.com/examples/elec...