由于内容安全策略,在 Render 上部署后端会导致“拒绝加载字体”错误,我该如何解决?
[英]Deploying a backend on Render causes a 'Refused to load the font' error due to Content Security Policy, how do I fix this?
我成功地在 Render 上部署了一个后端,但是当我 go 到链接时,API 返回 404 错误: 拒绝加载字体 'data:font/truetype;charset=utf-8;base64, d09GRgABAAAALM7AA8AAAABq0AAAAAAAACyRAAAAPcAAAHiAAA ...
iframe ch-ua-form-factor Cookie 权限错误
[英]iframe error with ch-ua-form-factor Cookie Permission
赏金将在 5 天后到期。 此问题的答案有资格获得+50声望赏金。 Denis Lebon正在寻找这个问题的更详细的答案。 我目前在我的网页中使用一个简单的 iframe,使用适用于小屏幕(=youtube short)和大屏幕(=普通横向视频)的引导程序: 我有一条警告/错误消息说: 权限策略错 ...
在带有 React 的 MUI 上使用 CSP Header
[英]Using CSP Header on MUI with React
我有一个使用 creact-react-app 和 Material-UI 的 React App。 我正在尝试为 AWS CloudFront 中的 react web 应用程序启用 CSP 标头。 我不知道为什么,但我不断收到这些空的内联“数据-情感”样式标签。 我将 the.env 设置如下 ...
添加多个哈希不适用于内容安全策略
[英]Adding multiple hashes not working for Content Security Policy
我有一个 Blazor 服务器端应用程序,我在_Host.cshtml的<head>添加了以下内容: 我最初是在控制台中报告的所有哈希值。 但是仍然报错。 我不得不删除哈希并添加unsafe-inline 。 我宁愿使用哈希值。 我错过了什么? ...
谷歌分析/谷歌广告和内容安全政策
[英]Google Analytics/Google Ads and Content Security Policy
让 Google Analytics/Google Ads 与 CSP 一起工作并不容易。 我查看了许多 SO 文章, 包括这篇文章,但想看看是否有另一种方法。 我在这篇文章中找到了一种非常简单的方法,并想将它张贴在这里以防它对其他人有用。 我会把它贴在这里作为答案。 ...
即使添加了 CSP header,OWASP 也会发出 CSP 警报
[英]CSP Alerts by OWASP even though CSP header is added
我正在使用 OWASP ZAP 2.12.0 自动测试 ASP.NET web 应用程序的漏洞。 它引发了一些我不知道为什么的 CSP 警报,因为在 Web.config 中添加了 CSP header。 需要帮助来解决引发的警报。 客户服务中心 Header 警报 ...
什么是 disposition: enforce in CSP frame-ancestors?
[英]What is disposition: enforce in CSP frame-ancestors?
从这里引用, 如果资源随包含名为 frame-ancestors 的指令且其处置为“强制”的策略一起交付,则根据 HTML 的处理 model, X-Frame-Options header 将被忽略。 我不明白提到'处置是'强制''的部分。 找不到例子。 有人可以阐明这一点吗? ...
OpenStreetMap 的内容安全策略
[英]Content Security Policy for OpenStreetMap
下面创建一个文件index.html和一个文件夹index_files 。 在本地加载, index.html外观和行为符合预期(缩放、平移等...)。 上传到服务器后,我能够查看 map/与之交互的唯一方法是安装禁用 CSP 的 Chrome 扩展程序。 我的问题是在这种情况下 CSP 字符串应该 ...
从 Express 服务的网页调用 API 客户端
[英]Calling an API client side from webpage served by Express
简而言之,在我的客户端代码中使用 Fetch API 时出现 CSP(内容安全策略)错误。 我无法更改 CSP,因为请求 CSP 比connect-src 'self' http://localhost:5000更严格(页面的元标记和中间件中的“使用”功能对请求 CSP 没有影响)。 也许我遗漏了什 ...
添加了构建 Nextjs 应用程序时头部缺少的元标记
[英]Added Meta tag missing from head when Nextjs app is built
我向next/head添加了一个新的meta标记 但是当使用next dev或next start应用程序时, <head>标签内缺少此元标签。 我们如何让 Next.js 将它们包含在<head>中? ...
CSP 问题,应用了严格的策略但无法找到它的定义位置
[英]CSP issue, strict policy applied but cannot find where it is defined
我使用 Tomcat 版本 9.0.69 和 Wicket 9.12.0 加上 Chrome 版本 109.0.5414.75 编写了一个 Java WebApp 用于显示,但是 CSP(内容安全策略)完全弄乱了显示一堆“拒绝 [加载样式表/script '' | apply inline styl ...
我的 ReactJS 前端正在导入许多使用 eval() 的库; 怎么可能安全?
[英]My ReactJS frontend is importing many libraries that uses eval(); How can it be safe?
我正在学习在 ReactJS 中编写的前端中防止 XSS 攻击。 我尝试使用内容安全策略标头并将 CSP Header 配置为: 这样只允许执行我自己来源的脚本。 但是,这使我的 web 应用程序无法加载: 现在,我 100% 确定我从未在我的 ReactJS 代码中使用任何eval() func ...
Create-react-app CSR - 在使用 Material UI 主题时应用内容安全策略(无内联样式)
[英]Create-react-app CSR - Applying Content Security Policy (no inline styles) when using Material UI Themes
我们有一个使用 Material UI Themes 库(使用情感库)的客户端呈现 React 应用程序。 伪代码看起来有点像这样: 我想开始应用一组内容安全策略规则,包括防止使用内联 styles 的规则。 因此,我将以下元标记添加到我的 index.html header 中: 这似乎适用于我 ...
托管在 IPFS 上的 React 应用程序提供“default-src 'self'”。 'connect-src' 未明确设置,因此 'default-src' 用作回退错误
[英]React app hosted on IPFS gives "default-src 'self'". 'connect-src' was not explicitly set, so 'default-src' is used as a fallback error
我在这里有一个反应应用程序https://github.com/ChristianOConnor/spheron-react-api-stack 。 我正在尝试将其托管在 IPFS 上。 我通过 2 个主要步骤部署它:1) cd frontend , npm run build和 2) 将build ...
在 CSP 指令中指定文件是否会阻止加载该域中的其他文件?
[英]Does specifying a file in a CSP directive prevent other files from that domain being loaded?
如果我有以下script-src指令: script-src: https://example.com/scripts/file.js; 是否可以加载以下任何脚本? https://example.com/file.js https://example.com/assets/file.js htt ...
HTTP Content-Security-Policy header 对于 Struts 中的 script-src 无法正常工作
[英]HTTP Content-Security-Policy header not working correctly for script-src in Struts
我在将我的 struts struts2-core-2.5.30 项目版本更新到 struts2-core-6.1.1 时遇到问题,所以我开始收到一条错误消息,表明违反了安全策略,做了一些研究,我发现一个 header应该加上 在这个错误里面我有这个描述 但是我已经尝试过这些标题 对于它们中的每一个 ...
如何使用 Do.net web 表单修复 TrustedHTML 分配错误 [innerHTML]
[英]How to fix TrustedHTML assignment error with Dotnet web form [innerHTML]
我使用了一个 header,它用于内容安全策略,它给出了无法在 chrome 中设置内部 html 的错误……有什么解决办法吗? ...
在不同调用中发送不同 CSP header 值时的 CSP 行为
[英]CSP behavior while sending Different CSP header value in different calls
我想了解当页面中的不同 REST 响应对 CSP 具有不同的 header 值时,将如何应用 CSP。 我们没有 CSP 的任何元标记。 CSP 仅通过响应标头应用。 让我们以 3 个 API 的场景为例 GET /api/v1/users - Content-Security-Policy: d ...
当我尝试在 iframe 中重定向我的应用程序时,Shopify 显示 CSP 错误
[英]Shopify shows CSP error when I try to redirect my app within the iframe
我正在使用 Kyon147/laravel-shopify。 我按照文档中的步骤操作并创建了一个可以安装到测试商店的应用程序。 我的问题是:我制定了一个计划,但无论我在做什么,我都会不断收到错误消息: 不安全的尝试从具有 URL 的框架启动具有来源 https://admin.shopify.com ...
如何从内容安全策略中删除“不安全评估”错误?
[英]How do I remove 'unsafe-eval' error from the Content Security Policy?
我正在使用 NodeJS 运行本地后端服务器,但我总是收到此内容安全策略错误 我尝试使用 CSP package 将“不安全评估”添加到我的应用程序中,但我仍然收到此错误。 csp.extend(app, { policy: { directives: { 'default-src': ['sel ...