jenkins内容安全政策
我对Jenkins内容安全政策感到困惑。
我知道这些网站:
- 配置内容安全策略
- 内容安全政策参考
我有一个通过Jenkins Clover插件显示的html页面。该html页面使用嵌入式样式,例如:
<div class='greenbar' style='width:58px'>
div元素可视化进度条。使用默认的Jenkins CSP配置会导致以下结果:
Progressbar_FAIL
我想要的结果如下所示: Progressbar_WORKS
我试图放宽CSP规则,添加具有不同级别(自我,不安全内联等等)的参数(脚本-src,样式-src)的不同组合,但是没有任何效果。
所以我现在的问题是:
- 我必须在哪里指定CSP配置?
- 可以使用内联样式吗?
- 样式应放在哪里?我的css样式表位于Jenkins服务器上的本地位置。
- 使内联样式和CSP规则“满意”的最佳方法是什么
更新资料
1.尝试: -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'
在jenkins.xml文件中。然后发生以下错误:
拒绝应用内联样式,因为它违反了以下“内容安全策略”指令:“ default-src’self’”。要启用内联执行,需要使用’unsafe-
inline’关键字,哈希(’sha256-‘)或随机数(’nonce -…’)。还要注意,没有显式设置’style-
src’,因此将’default-src’用作后备。
2.尝试 -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'self'进入jenkins.xml文件。然后发生以下错误:
拒绝应用内联样式,因为它违反了以下“内容安全策略”指令:“ style-src’self’”。要启用内联执行,需要使用’unsafe-
inline’关键字,哈希(’sha256-‘)或随机数(’nonce -…’)。
我了解此尝试无法解决我的问题,因为default-src包含style-src
3.尝试 -Dhudson.model.DirectoryBrowserSupport.CSP="default-src 'self'; style-src 'unsafe-inline'进入jenkins.xml文件。然后发生以下错误:
拒绝加载样式表s://jenkins/andsomedir/stylesheet.css [其https://
…不允许发布两个以上的链接:(],因为它违反了以下内容安全策略指令:“ style-src ‘unsafe-inline’”。
问题答案:
在进行实验时,我建议按照配置内容安全策略页面上的说明使用脚本控制台动态调整CSP参数。(Jenkins
Wiki页面上还有一条注释,指示您可能需要强制重新加载该页面才能查看新设置。)
为了同时使用内联样式和本地样式表,您需要同时添加 self 和 unsafe-inline :
System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "default-src 'self'; style-src 'self' 'unsafe-inline';")
根据进度条的操作方式,您可能还需要以相同的方式调整’script-src’。
找到有效的设置后,您可以调整Jenkins启动脚本以添加CSP参数定义。
-
为了缓解大量潜在的跨站点脚本问题,Chrome 浏览器的扩展程序整合了内容安全策略(CSP)的一般概念。这引入了一些相当严格的策略,这些策略将使扩展默认情况下更加安全,并为您提供创建和执行规则的能力,以管理扩展和应用程序可以加载和执行的内容类型。 通常,CSP 充当扩展程序加载或执行资源的阻止/允许列表机制。为扩展程序定义合理的策略使您可以仔细考虑扩展程序所需的资源,并要求浏览器确保这些是扩展程序
-
问题内容: 我对Jenkins内容安全政策感到困惑。 我有一个通过Jenkins Clover插件显示的html页面。该html页面使用嵌入式样式,例如: div元素可视化进度条。使用默认的Jenkins CSP配置会导致以下结果: Progressbar_FAIL 我想要的结果如下所示: Progressbar_WORKS 我试图放宽CSP规则,添加具有不同级别(自我,不安全内联等)的参数(脚本
-
文本安全内容检测 用于校验一段文本是否含有违法内容。 频率限制 单个appid调用上限为2000次/分钟,1,000,000次/天 调用示例 // 传入要检测的文本内容,长度不超过500K字节 $content = '你好'; $result = $app->content_security->checkText($content); // 正常返回 0 { "errcode": "0
-
内容安全策略 CSP(Content Security Policy)即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而降低客户端遭受 XSS 攻击风险。 默认配置下,CSP 甚至不允许执行内联代码 (<script> 块内容,内
-
CSP(内容安全策略) CSP(Content Security Policy) 即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而达到了降低客户端遭受 XSS 攻击风险和影响的目的。 默认配置下,CSP 甚至不允许执行内联代码
-
在我的页面上,我给出了层次结构: 内部框架带有给定的标题 看起来一切都是正确的,但我在chrome中遇到了这样的错误(ff中也有错误): 拒绝展示https://app.domain.training/path'在帧中,因为祖先违反以下内容安全策略指令:“帧祖先app.domain.training proxy.domain.training domain.training*.domain.tra