当前位置: 首页 > 知识库问答 >
问题:

当我有两个CSP(内容安全策略)策略时会发生什么-标题

麻宜春
2023-03-14

问题是关于CSP服务两次:

如果有一个策略通过Content-Security-策略HTTP响应头提供服务,并且还有另一个策略通过指定,该行为是什么?

这两者会以某种方式合并吗?或者哪个有优先权?(我在规范中找不到明确的信息)。

特定用例可能是通过HTTP响应头向报告,并将所有其他限制放在


共有1个答案

湛宜春
2023-03-14

如果在HTTP标头和meta元素中都指定了CSP指令,浏览器将使用限制最严格的CSP指令。

有关多个策略的详细信息,请参见https://w3c.github.io/webappsec-csp/#multiple-有关在以下位置使用meta元素的策略和详细信息:https://w3c.github.io/webappsec-csp/#meta-要素:

通过meta元素指定的策略将与受保护资源的任何其他活动策略一起强制执行,无论这些策略在何处指定。实施多项政策的一般影响见§8.1《多项政策的影响》。

其影响是,将其他策略添加到要强制执行的策略列表中只能进一步限制受保护资源的功能。

 类似资料:
  • CSP(内容安全策略) CSP(Content Security Policy) 即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而达到了降低客户端遭受 XSS 攻击风险和影响的目的。 默认配置下,CSP 甚至不允许执行内联代码

  • 我想使用javascript访问一个网站。但我在控制台中遇到以下错误。 拒绝连接到'https://example.com'因为它违反了以下内容安全策略指令:“default src'self'”。请注意,未显式设置“connect src”,因此使用“default src”作为回退。 我在index.html中添加了以下meta标记, 元超文本传输协议-Equiv="内容-安全-策略"内容="

  • 所以我一直在尝试使用一个谷歌可编程搜索引擎脚本,但我在元标记方面遇到了问题。我在my中包含的meta标记如下所示: 但是,我仍然收到一个错误,告诉我它拒绝加载脚本,因为它违反了“内容安全策略指令:“script src'self'” 我想知道它是否从其他地方继承了一些设置,因为它不接受我正在设置的新脚本src,但是如果我将其设置为“无”,它会接受新脚本src。 顺便说一下,我对html非常陌生,所

  • 内容安全策略 CSP(Content Security Policy)即内容安全策略,主要目标是减少、并有效报告 XSS 攻击,其实质就是让开发者定制一份白名单,告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞,由于脚本不在白名单之列,浏览器也不会执行该脚本,从而降低客户端遭受 XSS 攻击风险。 默认配置下,CSP 甚至不允许执行内联代码 (<script> 块内容,内

  • 我试图在测试站点上使用新的内容安全策略(CSP)HTTP头。当我将CSP与Modernizer结合使用时,会出现CSP冲突错误。这是我正在使用的CSP策略: 内容安全策略:默认src“self”;脚本src'self'ajax.googleapis.com ajax.aspnetcdn.com;样式src‘self’;img src“自我”;字体src“self”;报表uri/WebResourc

  • 开发人员控制台中出现了一系列错误: 拒绝计算字符串 拒绝执行内联脚本,因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是怎么回事?内容安全策略(CSP)是如何工作的?如何使用HTTP头? 具体来说,如何。。。 …允许多个源? …使用不同的指令? …使用多个指令? …处理端口? …处理不同的协议? …允许协议? …使用内联样式、脚本和标记