gpt4 book ai didi

java - 内容安全策略 : The page's settings blocked the loading of a resource at self?

转载 作者:技术小花猫 更新时间:2023-10-29 12:43:30 24 4
gpt4 key购买 nike

我在 Tomcat 上运行基于 Java 的 Web 应用程序6. 我的应用程序在本地主机和端口 9001 上运行。

使我的应用程序更安全并降低 XSS 的风险攻击,我添加了 header Content-Security-Policy,其值为 default-src * 'unsafe-inline' 'unsafe-eval';script-src 'self'。有了这个,我想允许 Web 应用程序从同一域加载 JavaScript 文件。

对于其他资源,它继续以与没有此 header 时相同的方式加载。

但我收到以下错误。

Content Security Policy: The page's settings blocked the loading of a resource at self ("script-src http://localhost:9001").

最佳答案

内容安全策略 header 是可信来源的白名单。

default-src 列表是所有其他 *-src 列表使用的列表。如果它不存在,则默认为 default-src: * ,这意味着“所有内容都允许来自任何地方”,它不提供任何针对 XSS 的保护。

因此,你应该从

开始
  • default-src none,这样所有的内容都是不允许的,或者
  • default-src 'self',因此只允许来自您域的内容。

之后其他的*-src可以根据需要替换。例如,以下信任 self 除了图像之外的所有内容,并且图像只允许来自 example.com(但不允许来自“self”):

default-src 'self'; img-src example.com;

在您的问题中,您指定了 default-src * 'unsafe-inline' 'unsafe-eval'; 这可能是导致问题的原因,因为 * 已经暗示了 '不安全内联''不安全评估'。这就像在说“允许所有内容并允许内联并允许评估”。

另请注意,在 IE >= 8 中,通过 X-Content-Security-Header 支持 CSP。

来源:

关于java - 内容安全策略 : The page's settings blocked the loading of a resource at self?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33453405/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com