内容安全策略(CSP)旨在通过为开发人员提供对允许加载页面的资源以及允许执行的脚本的细粒度控制来降低跨站点脚本攻击的风险。
dangerouslySetInnerHTML 不适用于 <script>
我有以下代码: 常量显示 = () => { constangerMarkup = { __html: "alert('ERROR');" }; 返回 ( divangerlySetInnerHTML={
我正在构建一个 chrome 扩展并面临与 csp 相关的问题。 我正在使用清单 V3 下面是我的csp “内容安全政策”:{ "extension_pages": "脚本-s...
无法从本地路径下载并查看文件(ERR_BLOCKED_BY_CLIENT)
我将 CSP 策略部署到我的系统,然后在尝试从本地路径查看 PDF 文件时遇到错误。在添加CSP策略之前,不会出现此问题。出现这个问题...
我正在尝试将内容安全策略添加到 Windows 2019 服务器上的 IIS。我曾经发布过类似的内容,但发现我走错了路。在 IIS 中,我要查看 HTTP 响应标头,cl...
我有一个在 Firefox 中运行良好的 report-uri,但基于 Chrome 的浏览器会忽略此属性并期望使用 report-to 代替。 我已经在本地主机上设置了一个服务器端 api 来接收浏览器报告...
我有一个 svelte + typescript 应用程序。我使用节点适配器构建应用程序,并使用 node+express+ts 后端(也使用头盔)托管它。 Svelte 生成的构建包含内联脚本,其中
拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self' 'nonce-Vs0RA4diyTa6WTnfA4Cy3Q=='”。要么是“unsafe-inline”关键字,要么是
拒绝加载脚本:Content-Security-Policy
拒绝加载脚本“https://cdnjs.cloudflare.com/ajax/libs/axios/0.18.0/axios.min.js”,因为它违反了以下内容安全策略指令:“script-src”自己'”。不是...
如何在 NextJS 中调试“内容安全策略(CSP)”和随机数
我正在尝试在我的 NextJS 应用程序(应用程序路由器)中设置 CSP 标头。 我添加了“内容安全策略”安全标头,特别是“src-script”指令。但我很...
如何调试“Content-Security-Policy (CSP) script-src”
我正在尝试阻止我的 NextJS 应用程序中不受信任的脚本标签。 我添加了“内容安全策略”安全标头,特别是“src-script”指令。但我得到了...
IIS:是否可以使用 IIS 工具(即 URL 重写模块)修改收到的每个请求的文件内容?
我有一个 Angular 应用程序 + NET 8 API 一起托管在 IIS 站点中。 我正在尝试使用“nonce”(仅使用一次的数字)来实施内容安全策略。这意味着对于发送的每个响应...
内容安全策略标准是否支持通配符路径?如果没有的话,为什么不呢?
从阅读 CSP 标准规范和示例来看,它似乎不支持给定 URL 的路径部分中的通配符。 这似乎是一个疏忽,因为有很多 CDN 和静态文件
我有一个大型旧版 Web 应用程序,需要符合 CSP(内容安全策略)要求。 它充满了内联事件处理程序,例如 onclick="警报('你好')" 我正在尝试写一些 js ...
我试图添加一个 iframe 并在页面加载后连接到谷歌,如下所示 但我从控制台收到了这条消息 参考...
如何将“nonce”选项传递给@emotion/cache(它是@emotion/core的依赖项)?
使用 Storybook 进行 preact 演示和 webpack 捆绑包 @emotion/core -> @emotion/cache -> @emotion/sheet 将样式插入 iframe 标头,导致样式出现多个 CSP 错误,例如 ...
我希望这个问题有一个简单的答案。 我正在使用“fancybox”工具将 Vimeo 的视频嵌入到页面上。 Fancybox 实质上创建了一个 iFrame 并嵌入了 Vimeo 播放器。 它
拒绝加载脚本“https://www.google.com/recaptcha/api.js”
我继续收到错误消息“拒绝加载脚本‘https://www.google.com/recaptcha/api.js’,因为它违反了以下内容安全策略指令:“script-src '.. .
Google ReCaptcha CSP 评估违规,尽管随机数正确?
我有以下 CSP 标头: script-src 'self' *.google.com *.googletagmanager.com *.google-analytics.com 'nonce-XXXXXX'; style-src 'self' '不安全内联' *.googleapis.com *.gstatic.com; img...
拒绝构建“https://accounts.google.com/”,因为祖先违反了内容安全策略指令“frame-ancestors https://drive.google.com”
Nextjs 客户端从后端接收驱动器共享 URL,我必须将它们显示为嵌入在 nextjs clinet 的 iframe 中。 这是实现的代码 if (file.includes("drive.google.com")) { ...
jquery.min.js 和 SessionExpire.js 中违反内容安全策略
我正在我的应用程序中实现 CSP,浏览器显示以下内容违反了 CSP: 1. jquery.min.js:以下行中的内联样式违规 t.insertBefore(e, t.firstChild) ...