正当防卫CSP(content security policy)

最新推荐文章于 2024-04-22 16:46:41 发布
最新推荐文章于 2024-04-22 16:46:41 发布
阅读量3.4k 收藏 1
点赞数
文章标签: 服务器 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43964271/article/details/126699886
版权

同源策略致使不同域名下的资源不可互相访问,起到安全保护的作用,但这一策略有时会防卫过当,将安全可信的脚本也误认为不安全因素后报错:

because it violates the following Content Security Policy directive: "default-src 'self' *.qq.com bjysweb.museum-edu.cn 'unsafe-inline' 'unsafe-eval' blob: data:". Note that 'script-src-elem' was not explicitly set, so 'default-src' is used as a fallback.(因为它违反了以下内容安全策略指令:“默认src‘self’*.qq.com bjysweb.museum-edu.cn‘不安全内联’‘不安全评估’blob:data:”。请注意,“script src elem”未显式设置,因此使用“default src”作为回退。)

此时可以通过设置csp进行正当防卫,将可信的网站加入白名单,对其他网站继续拦截

Content-Security-Policy: script-src 'self' xxx(可信的网站)
榴莲臭臭&臭宝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
koa-csp:用于设置响应头:Content-Security-Policy
02-03
koa-csp 这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ) ) ; // It is equivalent to app . use ( csp ( { enableWarn : true , policy : { 'default-src' : [ 'self' ]
Report-Sample-Injector-crx插件
03-26
语言:English (UK) 如果包含report-uri端点,则此插件会编辑CSP标头以包括某些指令缺少的“报告样本”。 此插件会编辑传入的CSP标头,以包括“ script-src”,“ script-src-elem”,“ script-src-attr”,“ style-src”,“ style”的“ report-sample”值-src-elem”和“ style-src-attr”指令,仅当存在特定指令且不包括“ report-sample”且指令“ report-uri”与指定的端点一起存在时。 该插件假定,如果开发人员在CSP中指定了report-uri端点,则他们有兴趣接收违规报告。 但是,对于某些指令,如果没有明确的“报告样本”值,则对于不同类型的违例(例如,内联处理程序vs.内联脚本vs.javascript URI),报表(目前的行为取决于浏览器)可能看起来是无法区分的。脚本src)。 当为某些CSP指令指定关键字“ report-sample”时,使兼容的浏览器包括在导致发布到report-uri端点的报告中违反的代码的前40个字符。 通过在缺少的地方插入
【问题出现】because it violates the following Content Security Policy directive: “default-src ‘self‘“
weixin_44943389的博客
03-15 1097
这个错误表明您的网站正在尝试从一个不在内容安全策略(Content Security PolicyCSP)允许列表中的源进行资源预获取(prefetch)。如果您是通过后端代码(如 Node.js、PHP 等)设置 CSP 的,您需要在响应头中添加或更新 CSP。如果您是通过 Web 服务器(如 Apache 或 Nginx)设置 CSP 的,您需要在服务器配置文件中更新 CSP 设置。要解决这个问题,您需要更新您网站的内容安全策略(CSP),以允许从。在这个特定的错误中,您的网站尝试从。
because it violates the following Content Security Policy directive: “img-src ‘self‘ data:base64“
老电影故事的博客
03-17 1176
在vue项目中的index.html文件中 修改。vue中放一张图片咋样都不显示,还报错,ma的。直接复制,替换掉 就ok。
Chrome插件在页面上直接绑定JavaScript事件提示Refused to execute inline event handler because it violates the follow...
angou6476的博客
01-16 1389
Chrome插件问了安全是不提倡在页面上直接写JavaScript的,如果出现了这个提示,其实也没有什么,同样可以运行。 从ChromeExtenstion V2开始,不允许执行任何inline javascript代码(也就是html内的任何js代码都不允许执行),比如下面的代码: <input type="submit" name="btn_submit" value...
内容安全策略 (CSP)
allway2的博客
09-05 5602
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
[Error] because it violates the following Content Security Policy directive
热门推荐
Nicker_的专栏
03-18 2万+
[Error] because it violates the following Content Security Policy directive html开发过程中,遇到以下错误,意思是html的meta设置的权限问题 Refused to connect to 'blob:http://localhost:8080/6d57f07f-3c2f-49ca-be30-fd0b7f4cff6e' because it violates the following Content Security Pol
because it violates the following Content Security Policy directive
qq_30432311的博客
11-26 1万+
问题:今天到公司打开的我vue项目,就报错了,明明昨天还是好好的啊,然后打开控制台,发现报了这样的错: 然后通过有道翻译了一下:拒绝加载图像的http://localhost:8080/favicon。因为它违反了以下内容安全政策指令:“default-src‘none’”。注意,'img-src'没有被显式设置,因此'default-src'被用作回退。 可是我昨天就加了个阿里图标,虽...
VUE报错because it violates the following Content Security Policy directive
yangwq的博客
04-24 9950
VUE启动服务后控制台报错:Refused to load the image 'http://localhost:8080/favicon.ico' because it violates the following Content Security Policy directive: "default-src 'none'". Note that 'img-src' was not expli...
使用js连接websocket报错VM4143:11 Refused to connect to ‘‘ because it violates the following Content Securi
qqqwdsada的博客
04-07 2965
在百度搜索无果后在一系列查略测试后发现在html头中调整加入 connect-src ‘self’ ws:;
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
fastify-csp:固定插件以设置Content-Security-Policy标头
05-08
固定插件以设置Content-Security-Policy标头。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过...
CSPContent Security Policy)是一种用于增强 Web 应用程序安全性的安全标头.docx
04-01
csp
Content Security Policy Override-crx插件
04-02
允许用户修改网页的内容安全策略(CSP)。 警告:不当使用此插件会降低浏览器的安全性。 除非您真的知道自己在做什么,否则不要使用。 要编辑配置,请转到chrome:// extensions,然后在“内容安全策略覆盖”下单击...
Linux基础(持续更新~)
qq_45022073的博客
04-15 740
Linux基础命令详解
Linux文件/目录高级管理一 头歌
2301_79585673的博客
04-22 394
Linux文件/目录高级管理一
绿联搭建rustdesk服务器
智识家的博客
04-22 244
启用仅加密,这样即便你的中继服务被他人得知,没有密钥也无使用你的服务。Web端使用,不用可不开放,没测试过怎么用。Web端使用,不用可不开放,没测试过怎么用。本服务器比较省内存,配置1GB即可。重启策略选择最后一项即可,其他默认。,因为未更改端口可以省略端口号。自己选择位置即可,必须。
华纳云:怎么防止租用服务器的数据丢失?
最新发布
YOKEhn的博客
04-22 330
限制访问权限:对服务器上的重要数据和文件设置适当的访问权限,限制只有授权的用户或者程序可以访问和修改数据,防止未经授权的访问和篡改。定期更新系统和软件:定期更新服务器的操作系统和软件,安装最新的安全补丁和更新,以修复已知的漏洞和安全问题,提高系统的安全性和稳定性。监控和警报系统:安装和配置监控和警报系统,监视服务器的运行状态和硬盘健康状态,及时发现和解决潜在的问题,防止数据丢失和服务器故障。数据加密:对于敏感数据,可以使用数据加密技术来保护数据的安全性,即使数据被盗取或者泄露,也不会被轻易解密。
Echarts csp Content Security Policy
12-24
Echarts是一个用于数据可视化的JavaScript库。CSPContent Security Policy)是一种安全策略,用于保护网站免受恶意攻击。通过CSP,可以限制浏览器只能执行特定来源的代码,从而减少跨站脚本(XSS)和数据注入等攻击的风险。 要在Echarts中使用CSP,可以通过设置HTTP Header中的Content-Security-Policy来开启CSP。具体的设置取决于你的服务器环境和框架。以下是一个示例: ```html <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://cdn.jsdelivr.net/npm/[email protected]/dist/echarts.min.js"> ``` 上述示例中,`default-src 'self'`表示只允许加载同源的资源,`script-src 'self' 'unsafe-inline' 'unsafe-eval'`表示允许加载同源的脚本,并且允许使用内联脚本和eval函数。此外,还可以通过添加其他指令来进一步限制其他类型的资源加载。 请注意,具体的CSP设置可能因服务器环境和框架而异,请根据实际情况进行相应的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值