Nginx Content-Security-Policy csp问题

最新推荐文章于 2024-05-11 10:49:58 发布
最新推荐文章于 2024-05-11 10:49:58 发布
阅读量1.9k 收藏 1
点赞数
文章标签: nginx 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zm170305/article/details/130886008
版权

最近新弄一个qa环境,前后端分离项目,用nginx 做跳转,把前后端的包都丢上去了,后端去请求数据没有问题,可以返回数据,但是前端访问的时候,一直抛错

Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-1Iax0dJ88jLkuqYpsJCyolLEMjxE8eCqpVFI0mUtxWk='), or a nonce ('nonce-...') is required to enable inline execution. Note also that 'script-src' was not explicitly set, so 'default-src' is used as a fallback. 

网上找了很久这个问题,一直以为是前端打的包有问题,后来问了一个有经验的同事,他说是csp 问题,需要配置文件,网上搜索就很快找到了类似问题的处理方式。

只需要在nginx 配置中添加

add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' https: data:; base-uri 'self';";

最低0.47元/天 解锁文章
Moe Zhou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Nginx配置Http响应头安全策略_nginx content-security-policy
2401_84181383的博客
04-10 1912
是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
nginx解决内容安全策略CSPContent-Security-Policy)配置方式
热门推荐
yb创作中心
09-09 3万+
nginx解决内容安全策略CSPContent-Security-Policy)配置方式(项目实战亲测使用) 下面这段配置拷贝到配置文件即可,注意顺序不能乱 add_header Content-Security-Policy "default-src 'self' static4.segway.com(该地址按需修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-Xss-Protection "1;mode=
在K8S的ingress-nginx使用 Nginx 配置 Content Security Policy (CSP) 修复网站安全漏洞
FizzX1的博客
08-28 1511
通过使用 Nginx 配置 Content Security Policy (CSP),您可以增强您的网站的安全性,防止恶意脚本注入攻击。确保生成唯一的 Nonce 值,替换页面中的占位符,并正确地配置 Nginx 头部,以实现有效的 CSP 防护。
2024年最新Nginx配置Http响应头安全策略_nginx content-security-policy(1),2024年最新网络安全开发框架
最新发布
2401_84267735的博客
05-11 627
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
Nginx 解决内容安全策略CSPContent-Security-Policy)配置方式
ideal-lingyun
09-24 3953
Nginx 解决内容安全策略CSPContent-Security-Policy)配置方式
问题出现】because it violates the following Content Security Policy directive: “default-src ‘self‘“
weixin_44943389的博客
03-15 2864
这个错误表明您的网站正在尝试从一个不在内容安全策略(Content Security Policy,CSP)允许列表中的源进行资源预获取(prefetch)。如果您是通过后端代码(如 Node.js、PHP 等)设置 CSP 的,您需要在响应头中添加或更新 CSP。如果您是通过 Web 服务器(如 Apache 或 Nginx)设置 CSP 的,您需要在服务器配置文件中更新 CSP 设置。要解决这个问题,您需要更新您网站的内容安全策略(CSP),以允许从。在这个特定的错误中,您的网站尝试从。
nginx CSP 防护
12-12 2446
CSP 内容安全策略,主要可用于防范XSS注入 具体相关文档参考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy https://cloud.tencent.com/developer/section/1189862 项目中 nginx 配置,需要配置在server下: ###frame 同源策略 add_header X-Frame-Options SAMEORIGIN; ###CSP防护
nginx add header csp
或非与博客
08-08 1184
引入谷歌 / hotjar统计,等外站的js/frame/css,会出现script-src、style-src、connect-src、frame-src、img-src等提示不安全,需要在nginx的头部增加Content-Security-Policy
Nginx的跨域Content Security Policy通行设置
黄树茂博客
04-02 6144
Nginx的跨域Content Security Policy通行设置 发表于2019年06月08日 日志 更新于 2019年06月09日 13:09:56 下午 场景描述 A站点HTTPS,A站点做为中心站,引用B/C/D/E/F……站点的资源进行供给,确定的只有A站点是HTTPS,其它站点可能是HTTP也可能是HTTPS,文件类型不限定,包括但不限于:CSS,JS,IMAGE,MP4,MP3,RAR,ZIP,M3U8,FLV……。 如果你使用的是默认配置,那么它会提示以下错误: ...
nginx-1.11.10.tar.gz
03-23
- **安全**:启用HTTP Strict Transport Security (HSTS)、Content Security Policy (CSP)等安全策略,防止跨站脚本攻击(XSS)和中间人攻击。 总之,Nginx是一个强大且灵活的Web服务器,1.11.10版本提供了稳定的...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
除了X-Frame-Options,还可以使用Content-Security-Policy (CSP) 中的`frame-ancestors`指令来更精细地控制页面的嵌入行为。然而,X-Frame-Options是更简单且广泛支持的解决方案,适用于大部分情况。 此外,虽然...
Chrome扩展页面动态绑定JS事件提示错误
12-08
问题描述: 当开发Chrome扩展时,页面的popup.html中需要js的时候,直接将JS写在动态绑定JS事件会提示: Refused to execute inline script because it violates the following Content Security Policy directive: “script-src ‘self’ chrome-extension-resource:”.. 解决办法: 在popup.html中引用外部的js文件动态绑定JS事件,例如: 代码如下: <script type=”text/javascript” charset=”u
https-nginx-guide:如何使用Nginx设置HTTPS
05-11
add_header X-Content-Type-Options nosniff; # 防止MIME类型嗅探 add_header X-XSS-Protection "1; mode=block"; # XSS防护 add_header Referrer-Policy strict-origin-when-cross-origin; # 设置referrer策略 ...
wenfujie#document-library#内容安全策略(CSP)1
07-25
前言CSP(Content-Security-Policy)是一个HTTP response header, 它描述允许页面控制用户代理能够为指定的页面加载哪些
Nginx相关.rar
01-30
为了增强安全性,可以启用HTTP Strict Transport Security (HSTS)、Content Security Policy (CSP)等特性,限制过时的加密套件,以及定期更新SSL证书。 通过以上配置,你可以充分利用Nginx的性能优势,为网站提供...
Nginx中如何启用CSP(内容安全策略)?
长风破浪会有时的博客
04-02 628
CSP就像是我们给网站加上的一个“保安”,它可以告诉浏览器:“只允许加载我指定的内容,其他的内容都不要加载哦!”这样,如果有人尝试在网站上加载恶意的内容,比如病毒或者广告,浏览器就会拒绝加载,从而保护我们的网站和用户的安全。通过这个配置,我们可以确保网站只加载我们指定的安全内容,从而提高网站的安全性。如果有人尝试加载不符合策略的内容,浏览器就会拒绝加载,并显示一个错误信息。头部的值中,我们设置了不同的策略来限制网站可以加载的内容。等元素的内容,因为这些元素可能会被用来加载恶意的内容。这个配置做了什么呢?
csp
zero
12-14 1436
认证方法 认证考试全部采用上机编程方式,编程语言允许使用C/C++或Java。考核为黑盒测试,以通过测试用例判断程序是否能够输出正确结果来进行评分。考试时间为240分钟。 认证知识要求 考试内容主要覆盖大学计算机专业所学习的程序设计、数据结构以及算法,以及相关的数学基础知识。包括但不限于: (1)程序设计基础 逻辑与数学运算,分支循环,过程调用(递归),字符串操作,文件操作等。 (2)...
Content-Security-Policy 入门必知
wy818的专栏
03-18 843
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。 Header set Content-Security-Policy "script-src 'https:'; obj.
nginx 教程
guorui999的博客
01-18 452
Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件。
nginx Content-Security-Policy 配置含义
07-29
nginx是一个常用的HTTP服务器和反向代理服务器,可以通过配置文件来设置服务器的行为。其中Content-Security-Policy...配置Content-Security-Policy可以帮助提高网站的安全性,防止跨站脚本攻击(XSS)等安全问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值