如何使用元標記放寬內容安全策略
[英]How to relax Content Security Policy with meta tag
問題描述
我正在嘗試使用某些頁面的特定元標記覆蓋內容安全策略。
我已經嘗試了幾個小時,但我還沒有成功。
有沒有辦法在不必修改服務器配置的情況下從頁面本身(使用JavaScript或元標記)覆蓋CSP?
謝謝。
2 個解決方案
解決方案1
5 已采納 2016-01-02 06:00:45
沒有。
出於安全原因,元標記只能使策略更嚴格,而不是放寬標頭中定義的策略。
如果元標記可以放松政策,CSP就沒有牙齒了。 任何惡意方都可以添加元標記來禁用策略並避免應該具備的所有限制。
解決方案2
2 2018-07-09 23:19:41
你可以收緊 CSP,但不要放松它。 您可以重新配置站點以在生成頁面的代碼中收緊/放松CSP。 例如,在PHP中,您可以創建標題,但稍后會覆蓋標題 - 只要您在實際輸出到瀏覽器之前執行此操作。
這就是我在我管理的網站上所做的事情 - 每個頁面都有一個相當嚴格的默認CSP標題,但在特定頁面上我可能會放松它以允許特定於該頁面的內容。 但是你必須在生成頁面本身時這樣做; 在發送初始CSP標頭后,您無法使用Meta標簽或JavaScript。
內容安全政策。 WebComponent的。 script src DataURI。可以通過META標記覆蓋HTTP HEADER嗎?
[英]Content security policy. webcomponent. script src DataURI .Can I override HTTP HEADER by META tag?
在 Electron 中設置 CSP 元標記時,“您網站的內容安全策略阻止在 JavaScript 中使用 'eval'”警告
[英]“Content Security Policy of your site blocks the use of 'eval' in JavaScript” warning when setting CSP meta tag in Electron
如何讓 Google Tag Manager 和 Content-Security-Policy 共存?
[英]How to make Google Tag Manager and Content-Security-Policy coexist?
流星錯誤:找不到Content-Security-Policy元標記。 使用cordova-plugin-whitelist插件時,請添加一個
[英]Meteor error: No Content-Security-Policy meta tag found. Please add one when using the cordova-plugin-whitelist plugin
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
內容安全策略元標記被忽略
內容安全政策。 WebComponent的。 script src DataURI。可以通過META標記覆蓋HTTP HEADER嗎?
在 Electron 中設置 CSP 元標記時,“您網站的內容安全策略阻止在 JavaScript 中使用 'eval'”警告
如何讓 Google Tag Manager 和 Content-Security-Policy 共存?
流星錯誤:找不到Content-Security-Policy元標記。 使用cordova-plugin-whitelist插件時,請添加一個
如何打破內容安全政策?
如何將內容安全策略添加到Safari擴展
內容安全策略 (CSP) 如何工作?
如何克服Ajax內容安全策略指令?
如何檢測內容安全策略 (CSP)
相關標簽