nginx出现Refused to apply inline style because it violates

已于 2024-07-30 16:38:59 修改
阅读量468 收藏 3
点赞数 1
文章标签: nginx 运维
于 2024-07-30 16:13:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50003028/article/details/140799544
版权

Content Security Policy的错误。根据错误提示,nginx拒绝应用内联样式,因为它违反了内容安全策略(Content Security Policy)。内容安全策略是一种浏览器机制,用于防止潜在的安全漏洞,通过限制从外部来源加载的资源(如脚本、样式和图像),以减少攻击面。

要解决此问题,你可以采取以下步骤:

1. 确保你的网站的配置文件中有正确的内容安全策略头部。可以在nginx的配置文件中添加以下头部:

add_header Content-Security-Policy "default-src 'self'";

2. 检查你的网页代码,确保没有内联样式。内联样式是指将CSS样式写在HTML标签的style属性中。这种情况下,你可以将内联样式移动到外部CSS文件中,并通过链接引用该文件。

3. 如果你的网站依赖于内联样式,你可以在配置文件中修改内容安全策略,允许内联样式。例如:

add_header Content-Security-Policy "default-src 'self' 'unsafe-inline'";

但需要注意的是,允许内联样式可能会降低内容安全性,因此请谨慎使用。

重启nginx服务器后,这个错误应该就会解决。

question
Nginx添加CSP响应头设置之后报错:

Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09G…’ because it violates the following Content Security Policy directive: “default-src ‘self’”. Note that ‘font-src’ was not explicitly set, so ‘default-src’ is used as a fallback.

reason
嵌入在js中font-src是data-base64字符串类型,而nginx CSP配置没有相关设置,导致被浏览器阻拦

solution
CSP内容追加对font的配置 font-src ‘self’ data:;

完整配置

add_header Content-Security-Policy "default-src 'self' 'unsafe-inline';img-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';connect-src 'self' 'unsafe-inline';font-src 'self' data:;";

表示js img js css font 支持同域名地址和行内嵌入

效果:

配置前:

配置后:

爱吃面条的猿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cordova页面解析页面中script标签内容失败,Refused to execute inline script because it violates the following
天马3798
02-16 2万+
一、异常内容: Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'". Either the 'u...
Cordova页面加载外网图片失败,Refused to load the image
天马3798
05-01 2万+
1.使用Cordova页面加载外网图片失败,抛出异常 Refused to load the image 'http://xxx.png' because it violates the following Content Security Policy directive: "default-src 'self' data: gap: https://ssl.gstatic.com 'un
playframework 2.6 refused to apply inline style because it violates the following Content Security
Learning from the mistakes
03-31 1万+
今天在做文件上传的时候,出现了下面的错误: Refused to apply inline style because it violates the following Content Security Policy directive: "default-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-4Su...
拒绝应用内联样式,因为它违反了以下内容安全策略:“style-src‘self‘https://apis.google.com。(Refused to apply inline style becau
Mr_chen_zw的博客
09-16 817
拒绝应用内联样式,因为它违反了以下内容安全策略:“style-src'self'https://apis.google.com。
Refused to execute inline event handler because it violates the following Content Security Policy di...
weixin_33698043的博客
04-10 7177
/********************************************************************************* * Refused to execute inline event handler because it violates the following Content Security Policy directive: "xx...
Electron中Refused to execute inline script because it violates the following Content Security Policy
web修理工
11-15 1591
方法一: 去掉Content Security Policy <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'"> <meta http-equiv="X-Content-Secur
ELK下常见启动错误_refused to execute inline script because it violat(1)
最新发布
2301_82244640的博客
05-15 391
修改/etc/security/limits.conf文件,增加配置,用户退出后重新登录生效。
Refused to execute inline script because it violates the following Content Security Policy 脚本报错已解决
小小彭
12-09 6534
写了一个功能 发现脚本报错以为是我的 jar 包引错了?还是未知反了?经过捯饬才发现这些都不是看下面是具体的报错 Failed to load resource: the server responded with a status of 404 (Not Found) upload.html:9 Refused to execute inline script because it violates the following Content Security Policy directive: "de
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
YangFanJ的博客
06-29 1万+
说明:前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时,浏览器发送请求,出现解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:http.headers().frameOptions().sameOrigin();百度查找...
Nginx HTTPS实践
江晓龙的博客
06-30 2万+
因为HTTP采用的是明文传输数据,那么在传输(账号密码、交易信息等敏感数据)时不安全。容易遭到篡改如果使用HTTPS协议,数据在传输过程中是加密的,能够有效避免网站传输时信息泄露HTTPS安全的超文本传输协议,我们现在大部分站点都是通过HTTPS来实现站点数据安全。早期网景公司设计了SSL(Secure Socket Layer)安全套接层协议,主要对HTTP协议传输的数据进行加密。那如何将站点变成安全的HTTPS站点呢?我们需要了解SSL(Secure Socket Layer)协议。
解决Nginx部署Vue项目第一次访问正常第二次访问404的问题
热门推荐
江晓龙的博客
08-29 4万+
【代码】解决Nginx部署Vue项目第一次访问正常第二次访问404的问题。
【微服务】一文了解Nginx网关搭建教程
热爱技术,享受生活
06-22 2万+
nginx是一个高性能HTTP服务器,反向代理服务器,邮件代理服务器,TCP/UDP反向代理服务器。单个系统主要用于处理客户端请求,一个系统处理客户端的请求量是有限的,当客户端的并发量超过了系统的处理能力的时候,就会导致服务器性能降低,速度变慢,直接影响用户体验,所以为了提升性能,我们会创建多个服务实例,形成集群系统用于保证高可用。也有部分业务场景,需要暴露给第三方,所以我们需要暴露出部分接口给第三方,这个时候我们就可以利用Nginx的反向代理,来代理我们的后端服务器。
Refused to execute inline script because it violates the following Content Security Policy directive
谷哥的小弟
09-07 6229
在利用表单向后台提交数据时,前端页面报错:Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-2/nwTfnmhsEOQ+pVDGpNeMyOzp4HRtQri8QvvBb+A6Q='), or a nonce
Cordova页面解析页面中script 内容失败,Refused to execute inline script because it violates the following
farmwang的专栏
10-13 2万+
异常的原因: Content-Security-Policy的默认配置是default-src 'self'。 解决方案: 添加script-src * 'unsafe-inline',对于页面内部标签不进行安全验证。
aspnet zero Refused to apply style from '...'because its MIME type ('') is not a supported styleshee
一根火柴博客
11-06 525
这是asp.net zero前端css,javascript无法加载造成的错误。 解决方法: 1. 安装npm 2. 安装yarn cnpm install -g yarn 3. 在*.Web.Mvc目录下,打开cmd,执行 yarn 执行完成后再运行 npm run create-bundles 4. 完成后启动项目就OK 参考: https://www.cnblog...
Refused to apply style拒绝应用样式
小蚂蚁的博客
01-25 3030
及时找到出错的地方,需要就在正确的路径下添加样式文件,不需要就注释掉导入语句。如果不知道在哪里引入了该样式文件,可以这样操作:webstorm操作:项目根目录app–>右键–>Find in Files–>搜索文件名。【出错代码提示(中文)】拒绝应用“http://localhost:8080/iconfont.css”中的样式,因为它的MIME类型(“text/html”)是不受支持的样式表MIME类型,并且启用了严格的MIME检查。项目中引入了改样式,但并没有提供,造成了样式表的缺失。
vue项目运行npm run dev 报错(can not GET)爬坑
谭少.居然的博客
11-08 7991
有时候运行vue项目会发现页面报错CanNotGet 首先,检查运行项目时下载模块后是否出现npm err 这个报错已经提示已经说了是缺少chromedriver模块,所以需要再单独下载这个模块 运行 npm install chromedriver -g 如果还不行的话就试试 运行 npm install chromedriver --chromedriver_cdnurl=ht...
nginx refused to apply style from '.css' because its mime type ('application
09-20
x-www-form-urlencoded') is not a supported stylesheet MIME type. Nginx拒绝应用样式文件'.css',原因是它的MIME 类型为'application/x-www-form-urlencoded',这不是一个支持的样式表MIME 类型。 通常情况下,样式文件的MIME类型应该是'text/css'。 'text/css'是指纯文本样式表文件。当浏览器加载网页时,会请求样式表文件并根据其MIME类型来处理它。 由于Nginx服务器检测到样式表文件的MIME类型不是'text/css',它拒绝应用该样式文件。这意味着浏览器将无法识别该文件中的样式和布局规则,因此可能会影响网页的外观和布局。 为了解决这个问题,您可以在Nginx配置中指定正确的MIME类型。具体来说,您可以通过在Nginx配置文件中添加以下代码来告诉服务器正确的MIME类型: ``` types { text/css css; } ``` 这将告诉Nginx服务器将'.css'文件的MIME类型设置为'text/css',以便正确地应用样式文件。 另外,还要确保服务器上已经正确配置了MIME类型映射。您可以检查Nginx配置文件中的mime.types指令,确认是否存在以下行: ``` types { ... text/css css; ... } ``` 如果不存在,您可以手动添加它们。 总而言之,当Nginx拒绝应用样式文件的MIME类型时,您应该检查并确保MIME类型设置正确,并在服务器上正确配置MIME类型映射,以便样式文件可以被正确加载和应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值