堆栈内存溢出
  繁体   English   中英

Socket.IO 被内容安全策略阻止

[英]Socket.IO blocked by Content Security Policy

 原文  2021-03-01 08:03:33       html/ node.js/ security/ socket.io/ content-security-policy

问题描述

我正在尝试创建一个超级简单的网站,只是为了显示内容并让另一个页面能够更改页面上的所述内容。 (安全性是 0 问题,因此请随意发布非常粗略的答案)。

但是当我访问该站点(托管在 NGINX 后面的数字海洋服务器上)时,我收到以下错误:

Refused to connect to wss://subdomain.domain.online/socket.io/?EIO=4&transport=websocket&sid=SIDHERE because it appears in neither the connect-src directive nor the default-src directive of the Content Security Policy.

我到处寻找并制定了以下政策:

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline' wss: ws: *; connect-src 'self' ws: wss: *;">

但仍然得到错误,我想知道是否有人会知道修复。

干杯,山姆。

1 个解决方案

解决方案1
 0  2021-03-03 03:07:44

看起来您已经发布了 2 个 CSP - 一个通过<meta http-equiv='Content-Security-Policy'>标签,第二个通过 CSP HTTP header。 在这种情况下,最严格的政策适用。

第二个 CSP 由 Helmet 中间件在服务器上发布,Helmet 版本 4 使用默认规则启用了 CSP。

如果您希望使用标签,请在helmet.contentSecurityPolicy(options)中禁用 CSP:

app.use(
  helmet({
    contentSecurityPolicy: false,
  })
);

或在 Helmet 中配置CSP header 并且不要使用元标记。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 内容安全策略:页面的设置阻止了自己加载资源? 如何检查通过内容安全策略阻止的内容? 错误:内容安全策略:页面的设置阻止了资源的加载 Socket.io和PHP socket.io和服务器 socket.io 未连接 IO 未定义 - Socket.io Socket.io 事件监听器/事件处理程序 Socket.io 内容安全策略内联脚本已被阻止 html 表单 js php 内容安全策略:页面的设置阻止了内联资源的加载(“script-src”)
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM