我正在尝试在我的下一个基于的应用程序中设置。(text)}
for (let k in csp) {} </body>
</Ht
浏览 10提问于2021-03-14得票数 1
回答已采纳
1回答
Chrome中的预加载和CSP
、、、、
我有一个网站上的网页上有一些<link rel="preload" href="...标签,在那里我也想添加尽可能严格的CSP头,并作为其中的一部分,我想使用default-src 'none' 目前Chrome支持预取,但只支持功能标志后面的prefetch-src的CSP指令。因此,我可以使用该功能,但不能配置其周围的安全性,因此使用当前的default-s
浏览 22提问于2019-04-11得票数 3
1回答
我是next.js的新手。我一直在努力优化我的应用程序的性能。我需要将Next.js创建的动态js文件从头移动到正文标记。
浏览 7提问于2022-01-09得票数 0
我需要阻止重定向使用window.location在我的网站上。一些黑客将存储的XSS脚本注入到我的网站中:现在,每次用户登录时,他都会在几秒钟内被重定向。可以通过以下方法阻止此脚本:
window.onbeforeunload = function() {retu
浏览 0提问于2019-07-05得票数 1
CSP脚本-src指令允许加载脚本,但是脚本-src-attr指令阻止脚本中的函数执行的示例是什么?如果不希望执行js处理程序,那么为什么不首先阻止js被加载呢?如果脚本src-attr在功能级别上运行,我可以理解它的有用性,但事实并非如此,对吗?
浏览 0提问于2021-04-01得票数 2
我目前正在通过他们的CDN加载FontAwesome,他们正在尝试注入和加载这个文件,而我不希望这样做。是否有办法将CSP更新为活动块或黑名单域/URLS?
浏览 1提问于2017-08-06得票数 3
回答已采纳
serviceWorker.register();当我第二次打开页面时,文件将从服务工作人员处加载。许多人被CSP阻塞了,正如我的控制台所示:当我进一步检查时,服务工作人员提供的CSS文件仍然有CSP头(现在内部也
浏览 4提问于2020-09-12得票数 0
1回答
我目前正在为使用Next.js制作的生产应用程序制定内容安全策略(CSP)。虽然我已经找到了使用框架实现CSP的可靠文档,但我需要确保正确地解决了一些问题。问题#1:我读过在headers中设置的安全策略更好。但是,我无法找到一种使用这种方法在生产中为内联样式传递“nonce”属性的方法。
问题2:--我看到了开发人员将他们的CSP注入自定义文档(“./page/_document.js”)的其他例子。我对使用这种
浏览 1提问于2021-11-14得票数 8
由于各种原因(主要是插件),我在一个需要动态加载一些脚本的网站上实现CSP头。这很容易通过使用“严格-动态”定义脚本-src来实现,并为非动态脚本定义散列/nonce。世界各地的建议还包括一些高级源/方案和“不安全内联”作为后盾,以防浏览器不支持CSPv3,因此不支持“严格动态”和动态加载:
script-src: 'strict-dynamic' 'sha256-s
浏览 0提问于2018-12-18得票数 2
我有一个Outlook外接程序,它只需在Outlook上添加一个命令按钮,一旦单击,就会向我的自托管API终结点发出请求。外接程序清单有效,我可以添加外接程序,但当我单击由外接程序添加的按钮时,Outlook告诉我它正在处理我的请求,但永远不会完成。查看屏幕截图:
当我查看开发人员控制台时,我发现无法从托管外接程序的web服务器加载office.js。
浏览 15提问于2019-11-12得票数 0
回答已采纳
1回答
我有一个网页(比如origin=A),其中嵌入了一个iframe,它从一个不同的域(例如B)加载。B从不同的域(不同的CDN)加载大量脚本。我的网页A设置了相当严格的CSP,例如:
B不设置任何CSP头。现在,我希望子帧B继承A的CSP
浏览 0提问于2017-04-05得票数 16
回答已采纳
我有一个使用VueJS开发的网站(即它是一个单一页面应用程序)。我一直在研究如何实现内容安全策略头。当我测试我需要的标题值时,我意识到我必须允许‘不安全-内联’脚本,因为这是我的网站的根本内容。我读了不少这篇文章,发现大量评论表明,如果我需要应用“不安全的内联”,CSP头真的不会对我有多大帮助。
因此,我的问题是:应用“不安全内联”会或多或少地使CSP变得毫无意义吗?有人对如何在SPA上处理CSP有什么好的<
浏览 0提问于2020-05-28得票数 3
我想在我的web应用程序中强制执行CSP作为安全措施。从服务器端,我已经将策略设置为“允许”其所有资源的self。然而,有一个特殊的前端node_module文件,它是抛出错误,如下所附。CSP头集是: script-src 'self‘'node_modules/aurelia-webpack-plugin/runtime/empty-entry.js';脚本-src-elem 'self请帮帮忙,我已经找了一个多星
浏览 5提问于2022-08-24得票数 0
回答已采纳
1回答
我的网站不加载信用卡3D安全弹出。内容安全策略:页面的设置阻止了资源的加载(“script-src”)。blob:27:22
浏览 1提问于2021-07-30得票数 2
回答已采纳
1回答
我已经实现了代码来管理应用程序中的内容安全策略层。我的实现是基于一个ActionFilterAttribute,它来自于这里可用的代码(为了简单起见,我包括在问题中)。context.HttpContext.Response.Headers.Add( "X-Frame-Options", "SAMEORIGIN" ); context.H
浏览 3提问于2017-10-20得票数 2
回答已采纳
1回答
我使用CSP nonce规则加载所有外部JS脚本,也就是说,我不触发'unsafe-inline'。所以更安全。奇怪的是,对于Google文件,浏览器正在阻止由analytics.js脚本本身加载的文件的加载。
任何人都有使用CSP加载Google的经验,并且没有使用'unsafe-inline',使用
浏览 0提问于2018-04-29得票数 3
回答已采纳
1回答
我真的不能在一个项目中包含一个模板dist的分发。由于电子是无头铬,难道不能把它作为脚本吗?我似乎有一个关于安全策略的错误它们在standalone-html中工作得很好
index-64aa1cf6.js:2443 Refused to apply inline
浏览 2提问于2020-04-29得票数 0
在像Safari这样只支持CSPv2的浏览器中,当我的内容安全策略中有'strict-dynamic‘和'nonce-AAA’指令以及所有合适的域时,浏览器将调用脚本加载器,但不会执行脚本加载器调用的第二个脚本例如,如果我有一个像这样的CSP:
script-src 'self' 'unsafe-inline' 'unsafe-e
浏览 6提问于2020-12-12得票数 0
我最近测试了一个web应用程序,发现它很容易受到存储的XSS攻击。然而,一种奇怪的行为让我有点困惑。当我插入John <script>alert(1)</script>Doe时,浏览器显示脚本标记确实被正确注入,但是警报没有弹出。插入John <img src=x onerror=alert(1)>Doe时,在加载时立即弹出警报。我到目前为止排除了什么,
转义:我认为<script>标记可能是转义的,但由于某种原因没有呈现,但我<
浏览 0提问于2020-11-02得票数 12
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
