当我访问我的网页时,我在浏览器中收到内容安全策略违反报告:
[仅报告]拒绝加载映像“”,因为它违反了以下内容安全策略指令:“img src‘self’”。
当我调查HTTP响应标头时,内容-安全-政策-报告-仅标头或内容-安全-政策标头似乎都不是由源服务器设置的。
如何找到此违规报告的来源?我不确定为什么会生成它,因为相关的头似乎没有设置。
可能有两种选择:
1.您在页面中嵌入了第三方iframe。您观察到的违规行为属于该iframe,它发布自己的CSP标头。由于浏览器只有一个控制台用于主页和所有iframe,您也可以看到第三方iframe错误。
尝试使用其他浏览器,有些浏览器可能会更详细,并显示被阻塞的URI。无论如何,你可以与第三方CSP无关。
2.如果访问不存在的网页,服务器的中间件可以为具有4xx/5xx状态代码的页面发布默认CSP。低概率,因为在这种情况下不使用Report-Only
模式。
发布内容-安全-策略-仅报告
不是在HTTP头,而是在meta标记是不可能的,因为metatag不支持仅报告
模式。因此我选择1。
我试图在测试站点上使用新的内容安全策略(CSP)HTTP头。当我将CSP与Modernizer结合使用时,会出现CSP冲突错误。这是我正在使用的CSP策略: 内容安全策略:默认src“self”;脚本src'self'ajax.googleapis.com ajax.aspnetcdn.com;样式src‘self’;img src“自我”;字体src“self”;报表uri/WebResourc
我正在从chargebee.com加载外部脚本,并在控制台中收到此错误消息: [仅报告]拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script src'nonce VVZ V0c=''self'https://maps.googleapis.com https://domain.chargebeestatic.com http://dgkxwewtzsnml.cloudfront.ne
当我将图像上传到我的web应用程序中时,它显示以下错误 拒绝加载图像'
问题内容: 我在开发人员控制台中收到很多错误: 拒绝评估字符串 拒绝执行内联脚本,因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是怎么回事?内容安全策略如何工作?如何使用HTTP标头? 具体来说,如何… …允许多个来源? …使用不同的指令? …使用多个指令? …处理端口? …处理不同的协议? …允许的协议? …使用内联样式,脚本和标签以及? …允许吗? 最后: 到底是什么意思?
内容安全策略 CSP(Content Security Policy)即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而降低客户端遭受 XSS 攻击风险。 默认配置下,CSP 甚至不允许执行内联代码 (<script> 块内容,内
CSP(内容安全策略) CSP(Content Security Policy) 即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而达到了降低客户端遭受 XSS 攻击风险和影响的目的。 默认配置下,CSP 甚至不允许执行内联代码