个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我正在为一个带有嵌入推文的页面使用内容安全策略,我收到了 https://cdn.syndication.twimg.com 的报告。 ,这在我的政策中是不允许的。
这是一个很长的政策,但相关部分是
default-src 'none'; ... script-src 'self' apis.google.com platform.twitter.com; ...
cdn.syndication.twimg.com或
*.twimg.com到
script-src标题的一部分,当我通过
Google CSP evaluator 运行标题时收到警告:
cdn.syndication.twimg.comis known to host JSONP endpoints which allow to bypass this CSP.
最佳答案
我不知道这是验证器错误还是细微的改进,但是如果您更改,验证器不会提示 script-src至 script-src-elem .
关于jsonp - 如何安全地将 script-src 与已知的 JSONP 端点主机(如 syndication.twimg.com)结合起来?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43783579/
28
4
0
为什么 Twitter (twimg.com) 使用大小后缀(例如“:large”)而不是查询参数? 例子: https://pbs.twimg.com/media/CrhajQHXgAEQ2US.j
我正在为一个带有嵌入推文的页面使用内容安全策略,我收到了 https://cdn.syndication.twimg.com 的报告。 ,这在我的政策中是不允许的。 这是一个很长的政策,但相关部分
我是一名优秀的程序员,十分优秀!