请求报错blocked:csp

于 2024-03-27 10:47:28 发布
阅读量735 收藏 2
点赞数 2
文章标签: chrome 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr__proto__/article/details/137070239
版权

报错如下:

Refused to connect to 'http://localhost:3000/api/login' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.

项目架构:electorn+react+axios

此报错是因为mate标签里写了如下代码

代码用途是,防止跨域脚本攻击

<meta
      http-equiv="Content-Security-Policy"
      content="default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data:"
    />

mdn文档:Content Security Policy (CSP) - HTTP | MDN 

解决办法就是先把这段代码注释掉

Mr__proto__
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全之csp
兄弟,摸鱼不
05-15 5885
最近前端项目被白帽子使用appscan扫到安全漏洞,老大勒令我们抓紧修复,我们先来看两个级别比较低的漏洞 看到这儿对于我个渣渣前端来说是懵逼的,难道我设置一下http header 就ok了 简单来介绍下什么叫做csp 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意...
ERR_BLOCKED_BY_CLIENT - 请求被广告拦截插件拦截
无声告白
07-07 3386
近日同事在项目中遇到个问题:用户A在使用某产品前端页面时从数据库中选择某张特定的表后调用接口获取相关数据失败,而其他表都是正常的。然后他在自己和同事的电脑上按同样的步骤操作,有些同事能够复现,有些不能复现。我按照他提供的步骤尝试复现了一下,发现相关请求是被拦截了: 控制台的报错信息: GET http://xxx?table=activity_advertisement_info net::ERR_BLOCKED_BY_CLIENT Network请求报错信息: 原因定位 首先看到ERR_BLOCKE
A CSP(Content Security Policy) issue on Web UI
Free Labor 的专栏
03-26 1253
A Content Security Policy issue
浏览器迁移引发的CSP(内容安全策略)问题排查
athjyh的博客
06-27 873
排错
【electron】【附排查清单】记录一次逆向过程中,fetch无法请求http的疑难杂症(net::ERR_BLOCKED_BY_CLIENT)
kinghzking的专栏
11-07 1630
electron很复杂,尤其是像本次遇到的问题,可以通过多种方式实现,所以我们需要一次次的尝试,排除错误答案,最终找到正确的解决方案。,将代码添加到目标进程的render中(如:app-bundle.js),这样我们就可以使用axios了,不过依然返回。虽然上面修正了fetch,但是依然担心fetch有问题,于是乎,尝试用第三方库axios测试。从上面的各种尝试中,我们可以看出,通过浏览器js各种失败,那么通过nodejs呢。,为了解决该问题,又遇到无数其它问题,特此记录,以敬后效。可是小编用的软件,在。
bug: net::ERR_BLOCKED_BY_CLIENT 资源被拦截
weixin_52221334的博客
03-20 987
net::ERR_BLOCKED_BY_CLIENT插件问题:
electron的渲染进程使用axios时被csp安全拦截的解决方案
u013687509的博客
12-22 819
1、问题出现场景   脚手架用的是electron-vite,渲染进程是vue3+pinia+vue-router,http请求是使用的axios,在发起请求时发现控制台报csp问题       2、原因分析   csp其实就是跨域问题,不支持非同源的资源访问,以往开发普通的vue项目时因为有脚手架里的代理,所以不会出现这种问题,而electron没有现成的代理配置 3、解决方法   这里介绍两...
安全 - 内容安全策略(CSP)(未完)
weixin_30762087的博客
06-28 1201
威胁 跨站脚本攻击(Cross-site scripting) 跨站脚本攻击Cross-site scripting (XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。 攻击者可以突破网站的访问权限,冒充受害者 以下2种情况下,容易发生XSS攻击: 从一个不可靠的链接进入到一个web应用程序。 没有过滤掉恶意代码的动态内容被发送给web用户。(可以上传动态内容得接口...
Failed to load resource: net::ERR_BLOCKED_BY_CLIENT(已解决)
zhang33565417的博客
08-16 6226
开发的时候碰到一个莫名其妙的错误,其中一个页面就是进不去,其他的页面可以进去 控制台报了一个这样的错误: Failed to load resource: net::ERR_BLOCKED_BY_CLIENT 最后发现是特么AdBlock插件把这个页面当做广告页面给拦截了!!!!!!!!! 把这个插件禁用了就好了,真特么沙雕! ...
CSP内容安全策略
星落
11-06 1447
CSP内容安全策略
jsonp突破同源策略,实现跨域访问请求
崔成龙 . 勇往直前
06-06 8134
跨域访问问题,相信大家都有遇到过。这是一个很棘手的问题。不过道高一尺,魔高一丈,对于这类问题,总有解决问题的方案。最近我又接触到了这个问题,解决的途径是ajax+jsonp。 说到这个问题,不得不说一下“同源策略(Same-Origin Policy)”,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。例如:http://www.12306.cn和https://www.1230
net::ERR_BLOCKED_BY_RESPONSE 解决方法
a13568hki的博客
07-12 8853
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame, iframe 或者 object 标签 中展现的标记。nginx配置示例:add_header X-Frame-Options ‘ALLOW-FROM https://xxx.xxxxxx.com’;nginx配置示例:add_header X-Frame-Options ALLOWALL;表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。‘’引号是必须要写的哦!
前端请求接口状态报blocked:mixed-content的原因
热门推荐
博哥的二进制世界
08-05 2万+
前端请求接口状态报blocked:mixed-content的原因 如下图,前端请求接口的时候报错Mixed Content,这是因为浏览器不允许在https协议的页面里请求http的接口,现在高版本的浏览器为了用户体验,都不会弹窗报错,只会在控制台上打印一条错误信息。 最简单的解决办法当然就是不要使用http请求,把网站上的http请求都迁移到https。 ...
https网页中请求http接口被blocked问题一句解决
weixin_43959024的博客
09-17 6282
一句解决: <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" /> 使用META标签强制将http请求转成https(SSL协议)请求
ajax请求出现blocked:devtools错误
flysnownet的博客
12-24 1万+
错误原因:开发者工具里点了拦截请求 block request 解决:取消拦截即可
【SSL】postman请求https接口无效果(SSL connections are being blocked)是怎么回事?如何配置SSL证书到最新版的postman中?
Qonent的博客
05-15 7297
文章目录前言正文临时设置请求导入证书到postman中总结 前言 前几天在开发一个小东西的时候,遇到了一个问题:SpringBoot接口突然就访问不了了,还写了一篇博客,【Java入坑之路】Spring Boot中项目编译正常,但是RestController接口突然就访问不了了 结果笔者今天又遇到这个问题了!况且我的代码基本上没什么问题,在本地使用postman的时候一直请求不了,后来用自己的...
内容安全策略(CSP)详解
weixin_47450807的博客
03-02 8187
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,什么不可以执行。CSP是专门解决XSS攻击而生的神器。 CSP的引入会使得我们的引入扩展程序更加安全,并且可以由开发者指定可以加载扩展程序的类型,避免恶意的脚本在浏览器中执行,造成信息泄露问题。 二、CSP的意义 CSP是防XSS的利器,可以把其理解为白名单,开发者通过设置CSP的内容,来规定浏览器可以加载的资
Chrome等浏览器下出现net::ERR_BLOCKED_BY_CLIENT的解决办法
bacongti2381的博客
10-24 3362
当我们在做开发时,调试页面图片会出现部分图片无法正常显示,并且确认图片的地址正确; 按F12 Debug查看报错原因,提示net::ERR_BLOCKED_BY_CLIENT错误,但当我们点击图片地址发现,图片地址并无错误; 遇到这类情况,一般都是浏览器安装的某个第三方扩展程序已阻止对此网页的访问,例如下图: 解决办法: 当我们查看浏览器第三方插件的时候,就会看到插件中...
内容安全策略(CSP)_防御 XSS 攻击的好助手
chuhan3075的博客
06-12 334
阅读全文 什么是 CSP? 其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。 这里有一个 PHP 的例子: <?php header("Content-Security-Policy: <you...
axios请求报错blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
最新发布
07-04
这个错误通常出现在前端JavaScript代码中向服务器发送跨域(Cross-Origin Resource Sharing, CORS)请求时。"blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource." 是浏览器安全策略导致的问题,因为根据同源策略(Same-Origin Policy),浏览器不允许非同源的资源(比如客户端JavaScript访问来自不同域名或端口的API)直接读取服务器的数据。 具体来说,当浏览器试图从一个不同的源(比如A.com)发起一个HTTP请求到另一个源(比如B.com),服务器如果没有设置`Access-Control-Allow-Origin`响应头,浏览器就会拒绝该请求,认为这是跨站资源共享限制(CORS)。 解决这个问题通常需要后端配合,在B.com服务器上添加`Access-Control-Allow-Origin`头部,指定允许哪些源进行跨域请求。如果是要开放给所有来源,可以写为`*`;如果是特定的源,就写成具体的URL。另外,还可以考虑其他的CORS配置选项,如`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`等。 相关问题: 1. 如何在服务器端处理CORS请求? 2. 后端如何设置`Access-Control-Allow-Origin`? 3. 是否有其他方法绕过CORS限制?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值