java - nginx静态目录怎么加Content-Security-Policy,安全扫描?
我nginx已经加了,只有文件,接口有效, 目录就不行
比如:https://xx.com/js/ 这个就不行 如果访问这个的话,我这边是跳404的 响应头没有Content-Security-Policy
add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' blob: data:; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self';";共有1个答案
试试专门为对应的目录添加安全策略:
location /js/ {
add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' blob: data:; script-src 'self' 'unsafe-inline' 'unsafe-eval'; connect-src 'self';";
}访问目录时出现404错误的问题,可能需要检查下nginx配置文件以确保目录已正确配置
例如 访问某个文件目录的配置如下:
server {
listen 80;
location /example {
autoindex on;
}
}-
HTTP Content-Security-Policy响应头允许网站管理员控制允许用户代理为给定页面加载的资源。除少数例外,策略主要涉及指定服务器源和脚本端点。这有助于防止跨站点脚本攻击(XSS)。 有关更多信息,另请参阅本文有关内容安全策略(CSP)的文章。 标题类型 响应标题 禁止标题名称 没有 句法 Content-Security-Policy: <policy-directive>;
-
HTTP Content-Security-Policy-Report-Only响应头允许Web开发人员通过监视(但不强制执行)其效果来实验策略。这些违规报告由通过HTTP 请求发送到指定URI 的JSON文档组成POST。 有关更多信息,另请参阅本文有关内容安全策略(CSP)的文章。 标题类型 响应标题 禁止标题名称 没有 | This header is not supported insid
-
百度了好久没一个有效的
-
问题内容: 我的单页应用程序在webpack-dev- server上运行。我可以在上加载和重新加载我的进入路线,并且每次都可以使用。但是我只能通过应用程序内的链接加载,即每当我从浏览器刷新按钮重新加载时,我都会 作为服务器响应,在控制台上我得到 内容安全策略:页面的设置禁止自行加载资源(“ default-src http:// localhost:8080 ”)。来源:;(function i
-
这是我的静态目录: null 但是,它不呈现。当我在flask下查看HTML页面的源代码时,它呈现如下: 我在这里做错了什么?
-
问题内容: 假设我有一些Java代码: 如果一个线程正在初始化SomeClass的对象,并且在第二个线程想要再次加载SomeClass的过程中正在初始化静态块中的值,那么该静态块会怎样?即使第一个线程未完成,第二个线程是否仍假设它已初始化而忽略了它?还是发生其他事情? 问题答案: 如果第一个线程尚未完成对SomeClass的初始化,则第二个线程将阻塞。 Java语言规范的12.4.2节中对此进行了