[nginx] Refused to load the font ‘data:application/x-font-woff;‘Note that ‘font-src‘ was not explici

最新推荐文章于 2024-09-20 14:22:02 发布
最新推荐文章于 2024-09-20 14:22:02 发布
阅读量3.1k 收藏
点赞数
分类专栏: pits 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qubes/article/details/120666602
版权
本文讲述了在Nginx中添加Content-Security-Policy响应头后遇到的字体加载问题,原因在于未配置font-src。解决方案是添加font-src指令并允许数据源。最终配置包括了对js, img, css, font等资源的管理。
摘要由CSDN通过智能技术生成

question

Nginx添加CSP响应头设置之后报错:

Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09G…’ because it violates the following Content Security Policy directive: “default-src ‘self’”. Note that ‘font-src’ was not explicitly set, so ‘default-src’ is used as a fallback.

reason

嵌入在js中font-src是data-base64字符串类型,而nginx CSP配置没有相关设置,导致被浏览器阻拦

solution

CSP内容追加对font的配置 font-src ‘self’ data:;

完整配置

add_header Content-Security-Policy “default-src ‘self’; img-src ‘self’ data:; script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’; style-src ‘self’ ‘unsafe-inline’; connect-src ‘self’;font-src ‘self’ data:;”;

表示js img js css font 支持同域名地址和行内嵌入

snowDreamzzz
关注
专栏目录
【docker】拉取镜像环境报错解决#ERROR: Get https://registry-1.docker.io/v2/
liu_chen_yang的博客
02-20 1万+
因为我们下载的镜像是外网的镜像资源,所以下载的速度会非常的慢,甚至大概率下载时会报错,所以需要我们配置一个国内的服务器镜像地址,国内服务器镜像地址有很多,这里咱们就说一下阿里镜像加速器的配置方法。
nginx代理服务报Mixed Content: The page at ‘https://xxx.com‘ was loaded over HTTPS
Bertram的博客
04-18 7546
使用nginx代理后端服务时出现如下错误: Mixed Content: The page at ‘https://xxx.com’ was loaded over HTTPS, but requested an insecure stylesheet ‘http://xxx.com’. This request has been blocked. the content must be served over HTTPS. 错误原因: nginx代理的https页面中加载的内容使用的http协议导致报
「Jenkins」- Note that ‘frame-src‘ was not explicitly set, so ‘default-src‘ is used as a fallback. @2
k4nz
01-25 2753
问题描述 在 Jenkins 中,当访问测试报告时,页面无法正常显示(页面没有显示内容)。浏览器控制台显示如下错误消息: ... Refused to frame 'https://jenkins.example.com/' because it violates the following Content Security Policy directive: "default-src 'none'". Note that 'frame-src' was not explicitly set,.
corodva Refused to load the font——拒绝加载字体
michael的博客
03-26 6903
问题: Refused to load the font 'data:application/x-font-ttf;base64,AAEAAAAPAIAAAwBwRkZUTXMrDTgAAAD8AAAAHE9T…oNBgQrsQYBRLEkAYhRWLBAiFixBgNEsSYBiFFYuAQAiFixBgFEWVlZWbgB/4WwBI2xBQBEAAAA' because it vi
内容安全策略csp中的font-src如果设置为* ,会不安全吗
Keep trying, keep going
09-20 356
通过设置CSP,可以限制外部资源的加载,例如脚本、样式、图片等。例如,如果攻击者能够通过某种方式将恶意字体文件上传到服务器或其他可访问的位置,他们可能会利用某些浏览器中的漏洞来执行恶意代码。虽然这样的设置不会像允许任何来源的脚本或样式那样带来严重的安全风险,但仍然可能存在一定的风险。这样,将只允许从自己的服务器(‘self’)和Google Fonts(fonts.gstatic.com)加载字体。可以指定允许加载字体的特定域名,或者只允许从服务器加载字体。这样,即使有潜在的风险,也可以将其降到最低。
violates the following Content Security Policy directive:default-src *谷歌iconfont图标显示方块 拒绝加载字体违反安全策略
积极的小可爱~的博客
02-20 4940
项目运行没有问题,iconfont的css文件什么的导入也没有问题。 但是用谷歌iconfont 的图标都是小方块! 打开控制台报这个错误: Refused to load the font ‘’ because it violates the following Content Security Policy directive: “default-src *”. Note that ‘fon...
接口请求出现because it violates the followingContent Security Policy directive: “default-src ‘self‘“. Note
dujunuan的博客
03-28 4966
因为在Content Securty Policy中,没有配置对应的部分,那么会默认使用default-src指令,而defauit-src指令中没有设置我们发送请求un设置,因此拒绝访问。只要是配置了connect-src指令,则不会使用默认指令default-src
前端CSP适配Note that ‘script-src-elem‘ was not explicitly set, so ‘script-src‘ is used as a fallback
RisunJan的博客
10-05 1300
前端CSP异常处理记录,不合理的地方评论指出由于https的限制和浏览器策略的升级,导致之前的地图图层不显示。现将解决办法记录如下。
字体图标文件服务器提示404,iis环境下字体图标woff/woff2/svg返回404不显示的原因与解决方法...
weixin_29338423的博客
08-05 1156
在IIS上部署web项目的时候,发现浏览器总是报找不到woff、woff2字体的错误,导致浏览器加载字体报404错误,因为服务器IIS不认SVG,WOFF/WOFF2,otf,eot,ttf 这几个文件类型,只要在IIS上添加MIME 类型即可。字体文件明明是存在的,但是却提示404,打开字体文件路径是这样的提示,MIME类型没添加,错误如下图:解决方法如下:一,如果你是服务器的话,打开服务器II...
nginx报错解决connect() to unix:/tmp/php-cgi-73.sock failed (111: Connection refused
huangbaokang的博客
06-09 7342
2020/06/09 08:50:16 [error] 6608#0: *1 connect() to unix:/tmp/php-cgi-73.sock failed (111: Connection refused) while connecting to upstream, client: 192.168.8.133, server: 192.168.8.145, request: “GET / HTTP/1.1”, upstream: “fastcgi://unix:/tmp/php-cgi-73.
Error from server: Get https://xx:10250/containerLogs dial tcp 10250: connect: no route to host
可乐多点冰的博客
07-19 1万+
重启虚拟机之后。发现之前运行的nginx访问不到,使用logs命令来查询k8s中pod日志提示以下错误: Error from server: Get https://192.168.180.129:10250/containerLogs/qsm-namespace/proxy-nginx-6bc7c74544-czln8/nginx: dial tcp 192.168.180.129:10250: connect: no route to host 提示connect: no route to host
nginx申请 Let‘s Encrypt 证书时出现的错误/.well-known/acme-challenge/EycPOUu_ZbFTfRFEnI1q6HO 以及证书自动续期
qq_27346503的博客
04-19 1万+
出现的错误: Domain: didiok.com Type: unauthorized Detail: Invalid response from http://ok.com/.well-known/acme-challenge/NHz9-CH4W0RkSC2rH1BORGtdEdk9-43JM3dXiWd_U_o [112.124.6.63]: "<html>\r\n<head><title>404 Not Found</ti...
[Error] because it violates the following Content Security Policy directive
热门推荐
Nicker_的专栏
03-18 2万+
[Error] because it violates the following Content Security Policy directive html开发过程中,遇到以下错误,意思是html的meta设置的权限问题 Refused to connect to 'blob:http://localhost:8080/6d57f07f-3c2f-49ca-be30-fd0b7f4cff6e' because it violates the following Content Security Pol
Nginx Content-Security-Policy csp问题
zm170305的博客
05-26 2326
最近新弄一个qa环境,前后端分离项目,用nginx 做跳转,把前后端的包都丢上去了,后端去请求数据没有问题,可以返回数据,但是前端访问的时候,一直抛错。网上找了很久这个问题,一直以为是前端打的包有问题,后来问了一个有经验的同事,他说是csp 问题,需要配置文件,网上搜索就很快找到了类似问题的处理方式。只需要在nginx 配置中添加。
Nginx的跨域Content Security Policy通行设置
黄树茂博客
04-02 6335
Nginx的跨域Content Security Policy通行设置 发表于2019年06月08日 日志 更新于 2019年06月09日 13:09:56 下午 场景描述 A站点HTTPS,A站点做为中心站,引用B/C/D/E/F……站点的资源进行供给,确定的只有A站点是HTTPS,其它站点可能是HTTP也可能是HTTPS,文件类型不限定,包括但不限于:CSS,JS,IMAGE,MP4,MP3,RAR,ZIP,M3U8,FLV……。 如果你使用的是默认配置,那么它会提示以下错误: ...
it violates the following Content Security Policy directive: "default-src 'self' http://example.com"...
ailiaojiao5464的博客
06-05 1593
昨天再调试APP的时候,图片无法显示了,看了下控制台报错信息,发现控制台报it violates the following Content Security Policy directive: "default-src 'self'http://example.com". Note that 'img-src' was not explicitly set, so 'default...
nginx 的安全策略问题
zhangiser的专栏
05-09 3316
不允许被嵌入,包括, , , 和 在nginxnginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入。
vue 启动报错
胖达的博客
10-14 682
because it violates the following Content Security Policy directive: "default-src 'none'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback. 只要修改config/index.js : dev: { assetsPublicPath: '/', //修改成这样 } ...
二次开发时,css中 @font-face 的处理方法
Austin_奥斯丁
01-14 1万+
现在要对项目做二次开发,css代码里面有如下操作。 @font-face { font-family: "iconfont"; src: url('data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAADlgAAsAAAAAWMQAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAABHU1VCA...
nginx配置Content-Security-Policy后data:application/x-font-woff2请求失败
最新发布
10-17
Content-Security-Policy (CSP) 是一种安全策略,它允许网站定义哪些资源(如脚本、样式表、图片等)可以从何处加载。当你在 Nginx 配置中设置了 CSP 并限制了内容源时,可能会遇到某些特定类型的请求(例如"data:..."协议的数据),尤其是像 "data:application/x-font-woff2" 这种字体文件的加载。 这种数据URL通常是用来在内存中直接提供资源,但在CSP严格的模式下,如果这个数据源不在指定的安全源列表里,Nginx 就会阻止这类请求,导致请求失败。为了处理这种情况,你需要调整你的CSP规则: 1. **解封特定类型的内容**: 可能需要添加 `default-src` 或者 `font-src` 条件,允许数据类型为 "application/x-font-woff2" 的内容加载。例如: ``` add_header Content-Security-Policy "font-src 'self' data:;"; ``` 这表示只允许从当前站点和数据链接加载字体。 2. **使用自托管字体**: 如果可能的话,将字体文件存储到服务器上,并通过常规的URL路径访问它们,以便于CSP管理。 3. **例外规则**: 使用 `connect-src` 或 `worker-src` 添加必要的例外,允许跨域数据请求。 4. **测试和更新**: 确保在设置更改后进行了充分的测试,检查是否所有依赖这些数据URL的功能还能正常工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值