blob图片资源被CSP拦截,无法在浏览器中加载

最新推荐文章于 2025-02-20 23:08:27 发布
最新推荐文章于 2025-02-20 23:08:27 发布
阅读量8.9k 收藏 4
点赞数 1
分类专栏: http 文章标签: CSP安全策略 blob资源无法加载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35584074/article/details/98177646
版权
本文探讨了Content Security Policy(CSP)在网络安全中的作用,特别关注于如何通过修改Nginx配置来调整CSP策略,以适应特定的安全需求。文章详细解释了CSP指令如何工作,以及如何避免因CSP策略过于严格而引发的资源加载失败问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

修改前nginx 中的配置:

 add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval';`

修改后nginx 中的配置:

 add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval';img-src *  blob: ; ";

不能加载的原因是CSP将资源拦截防止跨域攻击,然后浏览器会报诸如这样的错误:
it violates the following Content Security Policy directive: “default-src ‘self’ http://example.com”. Note that ‘img-src’ was not explicitly set, so ‘default-src’ is used as a fallback.

Nginx Content-Security-Policy csp问题
zm170305的博客
05-26 2791
最近新弄一个qa环境,前后端分离项目,用nginx 做跳转,把前后端的包都丢上去了,后端去请求数据没有问题,可以返回数据,但是前端访问的时候,一直抛错。网上找了很久这个问题,一直以为是前端打的包有问题,后来问了一个有经验的同事,他说是csp 问题,需要配置文件,网上搜索就很快找到了类似问题的处理方式。只需要在nginx 配置中添加。
前端安全之csp
兄弟,摸鱼不
05-15 6063
最近前端项目被白帽子使用appscan扫到安全漏洞,老大勒令我们抓紧修复,我们先来看两个级别比较低的漏洞 看到这儿对于我个渣渣前端来说是懵逼的,难道我设置一下http header 就ok了 简单来介绍下什么叫做csp 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS)和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意...
请求报错blocked:csp
Mr__proto__的博客
03-27 1962
项目架构:electorn+react+axios。此报错是因为mate标签里写了如下代码。解决办法就是先把这段代码注释掉。代码用途是,防止跨域脚本攻击。
Nginx 常用安全头
m0_54851477的博客
02-20 822
Web 应用中配置 HTTP 安全响应头是提升网站安全性的重要一步。合理配置 Nginx 的安全头,可以抵御常见的安全威胁(如 XSS、点击劫持、MIME 类型嗅探等),增强用户隐私保护和传输安全性。:限制资源(如脚本、样式、图片等)的加载来源,防止 XSS 和数据注入攻击。<object><embed>iframe注意事项:如果需要加载第三方资源(如 CDN),需显式添加来源。避免使用和,减少 XSS 风险。
CSP学习之导出密钥BLOB 解析
weixin_30426879的博客
09-25 1879
通过CryptExportKey(hKey,NULL,PUBLICKEYBLOB,0,NULL,&dwBlobLen) 函数导出的公钥信息如下: 06 02 00 00 00 A4 00 00 52 53 41 31 00 04 00 00 01 00 01 00 CD 85 DA 77 E8 CE 2D 25 84 C5 6F 4F E8 0C BA 30 12 ...
React加载Blob不展示
XIAOXUTONGXU_的博客
03-10 1109
React解决Blob不展示问题、Java、验证码生成工具类
ajax048472,jQuery.ajax()由于WebExtension中的CSP而被阻止
weixin_34223525的博客
08-05 436
我正在开发一个Mozilla Firefox扩展,它需要与localhost上的服务器进行通信:8080。jQuery.ajax()由于WebExtension中的CSP而被阻止jQuery.ajax({type: query_method,url: "http://localhost:8080/item",data: item,dataType: "jsonp",success: functio...
数据拦截大揭秘:CefSharp在WinForm中的response数据拦截技巧(网络数据拦截技巧)
![数据拦截大揭秘:CefSharp在WinForm中...首先介绍了数据拦截的基本概念和在WinForm中的实际需求。随后深入解析了CefSharp的基础架构,以及如何在WinForm中进行安装、配置和集成。通过研究CefSharp的事件系统和respons
Vue.js图片路径安全加载:本地JSON数据源的动态绑定策略
本文探讨了在Vue.js中实现图片路径安全加载的策略和实践。首先,文章概述了Vue.js框架及其处理图片路径时的潜在问题。随后,详细分析了本地JSON数据源创建与管理的基本原理,以及动态绑定策略的设计与实现方法。本文...
Refused to load the image 'blob:http://129,1.1.100/f 3cdc30b7-d163-45f7-8.auto/vehicle/list:1db506d8-2493-4766-856d-69538999cc87'because it violates the following Content SecurityPolicy directive: "default-src 'self'*,auto.com data: https: 'unsafe-inline'". Note thatimg-src' was not explicitly set,so 'default src' is used as a fallback.
最新发布
03-26
因此,正确的做法是在CSP头部中添加`img-src 'self' blob:`,或者根据具体需求添加其他来源。 总结步骤应该是:检查当前CSP配置,确认是否缺少`img-src`,然后添加该指令,包含必要的来源,如`self`、`blob:`、`...
浏览器文件下载的终极解决方案:JS插件深度对比与选择指南
浏览器文件下载技术在满足用户便捷获取文件需求的同时,面临着多样的浏览器兼容性、安全性以及性能优化的挑战。本文系统地梳理了文件下载的技术原理,并分析了不同实现方式的优缺点,特别强调了跨浏览器的兼容性...
移动端UC浏览器不支持Blob的解决方案
独行侠梦的博客
12-26 1万+
uc浏览器不支持Blob的解决方案
nginx CSP 防护
12-12 2572
CSP 内容安全策略,主要可用于防范XSS注入 具体相关文档参考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy https://cloud.tencent.com/developer/section/1189862 项目中 nginx 配置,需要配置在server下: ###frame 同源策略 add_header X-Frame-Options SAMEORIGIN; ###CSP防护
BUG篇:关于Blob文档下载----浏览器兼容性问题
lucky Judy
05-16 6275
描述问题: 今天测试发现一个问题,就是文件下载在chrome浏览器中正常,但是在火狐浏览器中不正常,代码中也没有对浏览器进行限制,那是什么导致了这个问题呢? 解决过程: 点击 导出 按钮,此时火狐浏览器报错如下: 重新一步步找到报错的代码 // Blob文件转换下载 downFile(result, fileName, fileType?) { let da...
electron的渲染进程使用axios时被csp安全拦截的解决方案
u013687509的博客
12-22 1464
1、问题出现场景   脚手架用的是electron-vite,渲染进程是vue3+pinia+vue-router,http请求是使用的axios,在发起请求时发现控制台报csp问题       2、原因分析   csp其实就是跨域问题,不支持非同源的资源访问,以往开发普通的vue项目时因为有脚手架里的代理,所以不会出现这种问题,而electron没有现成的代理配置 3、解决方法   这里介绍两...
CSP(内容安全策略)防运营商劫持
JUSTIN的博客
11-26 3723
(一)前言 CSP英文全称Content Security Policy,中文意思是 **内容安全策略**。 CSP以白名单的机制对网站加载或执行的资源起作用,在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义。用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件。
内容安全策略CSP)详解
热门推荐
柱哥的博客
04-18 2万+
内容安全策略CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。
CSP附件栏打开提示权限限制页面解决办法
weixin_44480777的博客
12-30 519
项目场景: CSP管理功能: csp附件存储显示功能 问题描述: 提示:这里描述项目中遇到的问题: 信息管理功能下的附件栏有有部分记录打开后显示权限问题: 原因分析: 部分页面显示正常,部分页面提示权限权限页面,判断可能是与显示查询相关数据不完整造成 解决方案: 1、通过对查询页面数据进行追踪找到tc_attach(附件信息记录表)、tc_data_object(对象记录表)、tc_data_object_lang(对象语言记录表)表; 2、通过以下语句对三张表进行检查 --检查tc_data_o
解决由静态资源拦截,导致不能访问动态资源
2301_79779756的博客
04-28 1029
在Web开发中,静态资源通常指的是那些不依赖于服务器动态生成的内容,比如HTML、CSS、JavaScript文件以及图片等。动态资源则是通过后端服务根据用户请求或特定条件动态生成的内容。在配置Web服务器或Web框架时,有时会出现静态资源拦截导致无法访问动态资源的情况。这通常是由于配置不当或路由规则错误导致的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值