本地开发遇到的CSP策略陷阱:为什么IP访问空白而localhost正常?

已于 2025-06-18 13:27:15 修改
阅读量619 收藏 6
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 前端工作中记录 文章标签: tcp/ip 网络协议 网络 前端框架 vue.js
于 2025-06-18 13:19:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XHN233/article/details/148738180

问题描述
在最近的本地开发过程中,我遇到了一个奇怪的现象:当使用http://172.16.80.102:9010/通过IP地址访问服务时页面完全空白,而使用http://localhost:9010/却能正常加载。经过代码审查,发现页面中设置了如下元标签:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

定位问题
通过浏览器开发者工具检查网络请求时发现两个关键现象:

  1. 使用IP地址访问时,控制台出现大量blocked:mixed-content警告
  2. 所有资源请求的协议头都变成了https://
  3. 实际网络请求显示net::ERR_SSL_PROTOCOL_ERROR

进一步分析CSP策略的执行逻辑:
upgrade-insecure-requests指令会强制升级所有HTTP请求到HTTPS

• localhost在浏览器安全模型中属于可信源(Trusted Origin)

• 172.16.80.102作为普通IP地址,不被视为安全上下文(Secure Context)

解决方案
临时解决方案(开发环境):

# 移除CSP元标签(适用于本地开发)
sed -i '/upgrade-insecure-requests/d' index.html

长期解决方案(生产适配):

  1. 配置本地HTTPS环境
// 基于webpack的配置示例
module.exports = {
    devServer: {
        https: {
            key: fs.readFileSync('./cert/localhost.key'),
            cert: fs.readFileSync('./cert/localhost.crt')
        }
    }
}
  1. 环境感知策略配置
<!-- 开发环境禁用CSP -->
<% if (process.env.NODE_ENV === 'production') { %>
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
<% } %>

知识点总结

  1. 安全上下文分级:
    • 顶级安全源:https://localhost*.localhost

    • 非安全源:IP地址、普通HTTP域名

  2. CSP执行优先级:

    最高优先级
    次优先级
    最低优先级
    HTTP响应头CSP
    执行策略
    Meta标签CSP
    浏览器默认策略

  3. HTTPS本地化实践:
    • 使用mkcert创建可信证书

    mkcert -install
mkcert localhost 127.0.0.1 ::1

    • Chrome强制HTTPS策略:

    chrome://flags/#unsafely-treat-insecure-origin-as-secure

思考:可以在构建工具中预设环境检测逻辑,通过process.env变量自动切换CSP策略,确保开发体验与生产安全性的平衡。对于需要多设备联调的情况,更推荐使用localtunnel等工具生成HTTPS代理地址,避免直接暴露HTTP服务。

Python开发FastAPI从入门到精通
YunWisdom
01-24 5619
想用Python写API快到飞起?FastAPI就是你的“代码瑞士军刀”!这本书不讲玄学,只教真功夫——从零搭建高性能API,到微服务、分布式事务、熔断限流,连异步编程都能玩成魔法! 小白也能变大神:路由、依赖注入、数据库集成手把手教学;老鸟直呼内行:服务网格、Saga模式、K8s部署实战全覆盖。附赠三个硬核项目:任务管理、在线商城、实时聊天系统,代码跑起来比奶奶织毛衣还丝滑!别说我没提醒你:翻开这本书,你的代码可能会快到自己都追不上!🚀
最全面、最详细web前端面试题及答案总结
热门推荐
HanXiaoXi_yeal的博客
02-01 3万+
2021最全面、最详细web前端面试题及答案总结 总结不易,希望可以帮助到即将面试或还在学习中的web前端小伙伴,祝面试顺利,拿高薪! 本章是HTML考点的⾮重难点,因此我们采⽤简略回答的⽅式进⾏撰写,所以不会有太多详细的解释。我们约定,每个问题后我们标记『✨ 』的为⾼频⾯试题 doctype的作⽤是什么?✨ DOCTYPE是html5标准⽹⻚声明,且必须声明在HTML⽂档的第⼀⾏。来告知浏览器的解析器⽤什么⽂档标准解析这个 ⽂档,不同的渲染模式会影响到浏览器对于 CSS 代码甚⾄ JavaScript
NestJS开发指南
YunWisdom
01-17 2046
无论您是刚接触Node.js的小白,还是已经有了一些基础的开发者,相信这本书一定能帮您循序渐进地掌握NestJS。通过这本书,您不仅能够学会如何用NestJS构建高效、灵活的服务器端应用,还能在开发过程中培养良好的编程习惯,走向专业化、系统化的开发道路。
pig-mesh/pig 前端运行配置完全指南
gitblog_01068的博客
08-30 567
在企业级微服务架构中,前后端分离已成为标准实践。pig-mesh/pig 作为基于 Spring Cloud 2025 的 RBAC 权限管理系统,采用典型的前后端分离架构。正确的前端运行配置不仅能提升开发效率,更能确保系统在生产环境中的稳定运行。 本文将深入解析 pig-mesh/pig 的前端架构、环境配置、开发调试和部署方案,帮助您快速上手并避免常见陷阱。 ## 前端架构概览 ```m...
golang大厂面试2
niwoxiangyu的博客
07-04 1694
一开始一个项目数据比较多,后来需要分库分表,有什么思路在不停服务的情况下做到平滑切换?wss是基于tcp的,tcp有个半连接队列,有没有遇到发了信令但是服务器没收到的情况?实现一个函数,有两个参数分别是升序的整数数组a和b,返回合并后的升序整数数组。理解不理解这些树的构造,是要解决什么问题?处理日志的时候如果发现突然量变大,该如何扩容让以前堆积的日志可以消耗掉?命令的时间差如何保证,命令混乱了怎么办(时间戳记录在服务器可以吗?题拍拍主要做拍搜服务的,题拍拍主要做增长,后面会做微服务架构k8s等。
centos7安全指南
seaship的博客
01-10 8629
侧重于红帽企业 Linux,但细节的概念和技术适用于所有Linux系统,该指南详细介绍了一些规划和工具,这些规划和工具可以为数据中心、工作场所以及家庭创建一个安全的计算环境。 使用正确的管理知识、警告和工具,运行 Linux 的系统可在充分发挥功能以及保障自身安全的情况下对抗最常见入侵行为和攻击方法。 安全话题概述 1.1. 什么是计算机安全? 1.1.1. 标准化的安全性 1.2. 安全控制 ...
CSP竞赛指南:全方位赛事指导与备战策略
11-21
使用场景及目标:为初次接触CSP竞赛的新手提供了系统性的准备工作流程;帮助已有一定基础但希望通过竞赛提升自我的选手优化备赛策略;适用于竞赛前期、中期以及结束后的各个环节。 其他说明:文中提及的多项建议不仅...
ACM-NOI-CSP竞赛宝典:策略、代码与实战经验共享-Markdown材料.zip
05-23
现在,我们为你呈现《ACM_NOI_CSP竞赛宝典:策略、代码与实战经验共享》Markdown材料。 这本宝典汇集了众多编程竞赛高手的智慧和经验,深入剖析了竞赛策略、解题技巧以及代码优化方法。无论你是初入赛场的新手,...
CSP-J:S教程ppt课件.zip
08-21
CSP-J/S:CCF非专业级软件能力认证的教程PPT课件。
php-csp-nonce-source:PHP的CSP(内容安全策略)随机数源
05-24
您只需调用Csp::sendHeader()和Csp::getNonce() 。 Csp::sendHeader()发送CSP标头。 Csp::getNonce()返回随机数值。 <?php require __DIR__ . '/bootstrap.php' ; Csp :: sendHeader (); ?> <!DOCTYPE ...
CSP:内容安全策略详解.zip
03-31
**内容安全策略(Content Security...综上所述,内容安全策略CSP是现代Web开发中不可或缺的安全工具,它为网站提供了额外的防护层,确保了用户数据的安全。理解和正确使用CSP,是每个Web开发者维护网络安全的重要职责。
Linux网络:TCP
2402_86037826的博客
10-21 1357
详解Linux网络:传输层TCP TCP报头,TCP机制,TCP粘包问题,TCP应用
IP 地址 (Internet Protocol Address) 详细介绍
weixin_41227420的博客
10-23 230
IP地址是互联网协议(IP)中用于唯一标识和定位网络设备的数字标签。它是网络通信的基础。IPv4和IPv6,以及它们的核心组成和工作原理。IP地址就像设备在网络世界中的“身份证号”和“邮寄地址”。功能描述标识 (Identification)唯一地识别连接到网络(无论是局域网还是互联网)的每一台设备(主机)。寻址 (Addressing)提供设备在网络中的位置信息,确保数据包能够被路由器正确地发送到目标。
高并发系统网络优化:TCP 参数调优、HTTP 协议优化(HTTP_2、HTTPS)
u010843275的博客
10-21 1407
本文针对高并发系统的网络优化,提出TCP参数调优与HTTP协议优化两大核心方案。在TCP层,通过开启快速打开(TFO)、调整TIME_WAIT超时、优化拥塞控制算法(BBR)等参数,可显著提升连接速度和吞吐量。在HTTP层,建议升级HTTP/2实现多路复用,解决HTTP/1.1队头阻塞问题;同时优化HTTPS配置,如会话复用和TLS1.3升级,减少握手耗时。优化后系统可提升30%+吞吐量,实现低延迟、高可用的网络链路。
Radamsa的TCP客户端/服务器模式用法
X_szxj的博客
10-23 298
请大家务必规范行为,不触碰法律界限流量捕获tcpflow记录正常网络通信,生成radamsa所需的样本文件。TCP 客户端模式radamsa -o 目标IP:端口向服务端发送变异流量,测试服务稳定性。TCP 服务器模式radamsa -o :端口向客户端发送变异流量,测试客户端兼容性。这只是一个简单的测试,Radamsa工具还有待研究,欢迎各位来讨论!
腾讯云国际站代理商:腾讯云负载均衡的健康探测源IP,我该如何诊断和配置?
linlin198302的博客
10-20 1127
如果您的 CLB 是较早创建的,并且当前使用的是 CLB VIP 作为健康探测源 IP,强烈建议您将其切换到 100.64.0.0/10 网段,以确保未来 CLB 集群升级或变动时不会因为 VIP 变化导致健康检查失败。
云服务器能否虚拟多个ip,一个云服务器怎么弄多个ip
G3113542273的博客
10-23 415
云服务器能不能虚拟多个IP,还有具体怎么弄。首先得确认他们可能是什么身份。可能是中小企业的运维,或者个人开发者,刚接触云服务,需要部署多个服务或者做网络隔离。嗯,用户提到“一个云服务器怎么弄多个IP”,深层需求可能不只是技术步骤,而是想了解哪种方案最合适。比如他们可能在犹豫选弹性公网IP还是多网卡,或者担心成本问题。得先解释原理,说明云服务商确实支持,避免他们觉得有技术瓶颈。然后分方案,因为不同场景需求不同。比如有人需要高可用,有人只是要挂多个网站。
Modbus TCP 核心知识点详解
最新发布
2401_82978699的博客
10-24 531
ModbusTCP工业通信协议摘要 ModbusTCP是Modbus协议基于TCP/IP的以太网实现,采用Client/Server模型(替代RTU的主从模式),通过标准502端口通信。其核心报文结构由MBAP报头(含事务ID、协议标识等)和PDU(功能码+数据)组成,利用TCP的可靠性机制省略了CRC校验。协议支持4种数据类型(线圈、离散输入、保持/输入寄存器)和8种常见功能码(如读寄存器0x03、写多线圈0x0F)。异常响应通过功能码+0x80标识,并返回错误码(如非法地址0x02)。相比RTU,Mod
higress开通tcp和websocket网关
潮落拾贝
10-21 292
只要将higress-gateway服务的type改为NodePort, 并在dashboard中绑定域名和你开发的服务的映射,然后在本机的host中绑定刚才设定的服务域名和任意宿主机节点的ip(一般选择设置高可用虚拟ip), 此时访问域名加上80或443对应的端口号,如上31172或32505,就可用正常访问到你开发的服务了。最后就是测试了,在客户端配置 "宿主机任意IP地址:31101" ,运行,看是否可以正常通信,或者用简易方法 nc -zv 宿主机任意IP地址 31101 测试连通性。
CSP Disabler:专为Web开发人员设计的CRX插件
- 插件用途:CSP Disabler for developers-crx 是一款为Web开发人员设计的浏览器扩展程序,其主要功能是禁用网页的内容安全策略(Content Security Policy,CSP)。 - CSP作用:内容安全策略是一种附加于Web应用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值