在公司项目漏扫中发现缺失`Content-Security-Policy`头部的问题,按照建议添加后出现页面访问和图片上传故障。通过逐一添加域名和使用通配符配置解决,实现了对多种域名的支持,成功完成整改。
起因
公司项目进行漏扫,提出几条整改意见(其他的都比较简单、已经解决),其中有一条是`针对缺失"Content-Security-Policy"头漏洞整改建议`,漏扫方建议
Nginx
在nginx.conf中进行设置:
server {
…
add_header Content-Security-Policy "default-src 'self';";
}
嗯,很简单,上手干。
nginx -s reload服务起来了,访问一下 www.baidu.com
访问又问题,明显的有页面访问不到、图片上传不上去,这不行啊。
老哥建议我请求头加内容譬如
我全加了一遍感觉还是有问题,弄了一个笨办法,把自己访问的域名全加一遍,遇到地图这种域名多的,csp还支持通配符配置,这才解决了漏扫(笨方法),如下图:
add_header Content-Security-Policy "default-src 'self' *.map.gtimg.com mapapi.qq.com *.qq.com img.yzcdn.cn 'unsafe-inline' 'unsafe-eval' blob: data: ;";
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
