- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
从今天开始,在 Chrome 73.0.3683.103 控制台中,我看到以下错误:
The Content Security Policy 'script-src 'report-sample' 'nonce-PNYOS1z63mBa/Tqkqyii' 'unsafe-inline';object-src 'none';base-uri 'self'' was delivered in report-only mode, but does not specify a 'report-uri'; the policy will have no effect. Please either add a 'report-uri' directive, or deliver the policy via the 'Content-Security-Policy' header.
我相信这是来自脚本 src="https://apis.google.com/js/platform.js"...一切似乎都有效。始作俑者好像是https://content.googleapis.com/static/proxy.html?usegapi=1 ...
是什么原因造成的,我该如何解决?
编辑:截至今天,我不再看到错误。所以我假设谷歌已经解决了这个问题。
最佳答案
如果父页面归您所有,您可以采取一些措施来更正此问题。如果父页面不属于您,您无能为力,但此警告不会影响您的体验。
首先是一些背景:
内容安全策略或 CSP 是您的服务器可以设置的 header ,它告诉浏览器强制执行一个白名单,列出哪些内容可以在您的页面上运行、来自何处以及如何运行。例如,您可以限制允许从哪些域中获取 JavaScript,JavaScript 是否可以内联运行,或者 JavaScript 可以在哪里进行 xhr 调用。
CSP 可以在两种模式下运行:阻塞 和报告。
在阻止模式下,浏览器会执行 CSP 中规定的策略,并将这些限制应用于您的网页。在阻塞模式下,您可以选择将任何被阻塞的内容报告回您在 CSP 的 report-uri
指令中指定的端点。在报告模式下,不会阻止任何内容,只有会被阻止的内容才会报告给策略 report-uri
指令中指定的端点。
浏览器警告说您正在报告 模式下运行,但您没有指定report-uri
,所以它不知道在哪里报告违规行为。实际上,您的 CSP 除了浪费带宽外没有做任何事情,因为它没有报告或阻止它发现的任何问题。
这给您留下了几个选择:
report-uri
(类似于report-uri: https://example.com/csp_reports
)来接收请求。即使您在该端点未收到任何内容,您的特定控制台警告也会消失(您仍会收到针对特定 CSP 违规的控制台错误,即使它们未被阻止)。report-uri
。从长远来看,从安全 Angular 来看,这是最佳解决方案,但适用第 3 步中的警告。如果是我,我会首先添加一个 report-uri
来了解我的页面生成了哪些警告(请注意,有些警告可能是由浏览器扩展触发的 - 您对此无能为力,但那是好的)。一旦我理解了常见的警告,我就会调整 CSP 以及我必须使用哪些资源来确保页面加载时控制台中没有任何警告或错误。然后我会将 CSP 切换到阻塞模式以利用它提供的安全优势。
关于javascript - Chrome 控制台错误 : The Content Security Policy was delivered in report-only mode, 但未指定 'report-uri',我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55536845/
我无法理解 on-policy 方法(如 A3C )和 off-policy 方法(如 DDPG )之间的根本区别是什么。据我所知,无论行为策略如何,off-policy 方法都可以学习到最优策略。它
在我们的 ADX 集群中,表上没有分区策略和合并策略,但 adx 仍然创建范围。我很困惑它是如何工作的以及默认设置是什么。有谁知道这个吗? 此外,分区键的组合如何工作?例如我有 { "Partit
我最近在尝试本地上传图像时开始遇到此错误。不过,我以前不习惯收到错误。 S3 方面或代码方面没有任何变化。不过,上传在生产中仍然有效。我已经尝试了所有常见的方法,重新启动服务器,重新启动计算机,更改为
在 OPA 中,很清楚如何查询 condition AND condition : values := { "value1": { "a": "one" }, "value2":
我有一个自定义政策 // Policy: Management Group Level resource "azurerm_policy_definition" "only-deploy-in-eas
鉴于以下(为了论证而简化)docker-compose.yml文件: version: '3' services: postgres: image: fleetit-postgres
我是 OPA(开放策略代理)的新手,正在尝试使用 REST API/v1/policies/{id} 创建新策略。有用!但是,OPA 服务器将其保存到内存中,并且在重新启动后我的所有策略都被删除了。我
我想在 K8sPSPCapabilities 约束模板中将一个容器列入白名单,但我在使用 rego 语言时遇到了一些困难。我想禁止除特定容器之外的所有容器的 NET_RAW 功能。如果有人能指出我正确
S3 存储桶策略与其指定管理员的用户策略之间的关系是什么(或应该是什么)? 例如假设我新创建了一个存储桶: $ aws --profile admin --endpoint-url http://lo
我正在为我公司的网站添加 Content-Security-Policy-Report-Only 标题。在我研究它时,我发现一些页面已经设置了 Content-Security-Policy head
应Content-Security-Policy header 是在每个服务器响应(图像、CSS、JS 等)中还是仅在 text/html(PHP 脚本的 .html 或 HTML 输出)中? 最佳答
我的 https://my-site.com网站有一些类似下面的 html: 在控制台中,我得到这个错误: Refused to load media from 'blob:https://my-s
我收到这个错误,我不知道为什么,我包含的脚本有效? 并且错误仅在我加载子页面时出现。不是在我加载起始页时。 那么我做错了什么? The source list for Content Security
我想创建一个包含多个自定义 Azure 策略的 Azure 策略计划 我有以下自定义政策 # Azure Provider source and version being used terrafor
我们正在使用 Azure AD B2C(仍处于预览版)对我们的应用程序的客户进行身份验证。 我们将使用自定义 html 模板来实现登录体验和注册(使我们对 MS 内容之外的格式和链接拥有更多权力)。
我是 Istio 的新手。我正在使用 JWT 实现授权。有效的 JWT token 不会反射(reflect) DENY 操作。我添加了 JWT Payload and Authorization P
我想用 JUnit 和 Apache CXF 编写一个简单的集成测试来测试一些支持 WS-Security 的服务。当我尝试运行我的代码时: MyService myService = new myW
在 https://securityheaders.com 上测试我们的网站时,它表明我们缺少两个 header : 推荐人政策 功能政策 我们的站点是 Jira 8.3.1,它本身运行 Tomcat
我需要在数据类型“DateTime”的自定义策略中使用扩展属性。我将声明类型定义如下。 myAttrbute dateTime This is for
我的信任库中有服务器根证书,在设置 -Djavax.net.debug=all 后,我可以看到信任库已初始化并且受信任的证书在那里: trustStore is: test.truststore tr
我是一名优秀的程序员,十分优秀!