express - 加载被内容安全策略阻止的资源-6ren

express - 加载被内容安全策略阻止的资源

转载作者：行者123 更新时间：2023-12-02 10:43:27

26

4

我在浏览器的控制台中收到以下错误:

Content Security Policy: The page’s settings blocked the loading of a resource at http://localhost:3000/favicon.ico (“default-src”).

我在网上搜索发现应该使用下面的代码片段来修复此问题:

<meta http-equiv="Content-Security-Policy" content="default-src *;
    img-src * 'self' data: https: http:;
    script-src 'self' 'unsafe-inline' 'unsafe-eval' *;
    style-src  'self' 'unsafe-inline' *">

我将其添加到我的前端 app.component.html 文件(我所有前端 View 的父模板)中，但这并没有按预期工作。

我也尝试过多种排列，但均无济于事。

我的前端位于localhost:4200，后端位于localhost:3000。

下面是我的后端服务器(中间件)的代码片段:

app.use(cors());
app.options('*',cors());
var allowCrossDomain = function(req,res,next) {
    res.header('Access-Control-Allow-Origin', '*');
    res.header('Access-Control-Allow-Methods', 'GET, PUT, POST, DELETE');
    res.header('Access-Control-Allow-Headers', 'Content-Type');
    next();
}
app.use(allowCrossDomain);

我现在还向我的后端(Express)服务器添加了以下中间件:

const csp = require('express-csp-header');

app.use(csp({
  policies: {
      'default-src': [csp.SELF, 'http://localhost:3000/', 'http://localhost:4200/' ],
      'script-src': [csp.SELF, csp.INLINE],
      'style-src': [csp.SELF],
      'img-src': ['data:', 'favico.ico'],
      'worker-src': [csp.NONE],
      'block-all-mixed-content': true
  }
}));

。。。但仍然没有解决问题。

这是屏幕截图:

我做错了什么以及如何解决它？

最佳答案

内容安全策略(CSP)是一种有助于防止跨站脚本(XSS)的机制，最好在服务器端处理；请注意，它也可以在客户端处理，利用 <meta> HTML 的标签元素。

配置并启用后，Web 服务器将返回相应的 Content-Security-Policy在 HTTP 响应 header 中。

您可能想在 HTML5Rocks 网站和 Mozilla 开发人员页面 here 上阅读有关 CSP 的更多信息。和 here .

Google CSP Evaluator是一个方便且免费的在线工具，可帮助测试您的网站或 Web 应用程序的 CSP。

在您的实例中，您可能需要添加以下行，而不使用 https: 强制使用 HTTPS 作为协议(protocol)。指令；
因为您的网站或应用程序(共享)无法通过 HTTPS 访问。

res.header('Content-Security-Policy', "img-src 'self'");

以 default-src 开头指令设置为none是开始部署 CSP 设置的好方法。

如果您选择使用Content-Security-Policy middleware for Express ，您可以按照下面的代码片段所示开始使用；

const csp = require('express-csp-header');
app.use(csp({
    policies: {
        'default-src': [csp.NONE],
        'img-src': [csp.SELF],
    }
}));

// HTTP response header will be defined as:
// "Content-Security-Policy: default-src 'none'; img-src 'self';"

请记住，CSP 是特定于案例或应用的，并且基于您的项目要求。

因此，您需要进行微调以满足您的需求。

关于express - 加载被内容安全策略阻止的资源，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/56386307/

26

4

0

文章推荐： nix:直接从主分支安装派生

文章推荐： google-play - 如何在 Google Play 中切换语言？

文章推荐： assembly - 如何在 DOS 中获得额外的段？

文章推荐： maven-2 - Glassfish 应用程序无法与 Maven 库(gf-client)一起使用

jsp - 如何从JSP输出HTML <%! ... %> 阻止？
我刚开始学习JSP技术，遇到了瓶颈。如何从 JSP 声明 block ？这不起作用: ... 服务器说没有“out”。 U: 我确实知道如何使用返回字符串的方法重写代码，但是有没有办法在？
lucene - Elasticsearch 阻止
在一个字段中，我想设置一个具有自定义过滤器的自定义分析器-着眼于词干-因此，“闪存卡”和“闪存卡”的词根相同，因此返回的结果相同当我运行以下查询时，我的命中率很高，但是“闪存卡”和“闪存卡”各自返回
c# - 阻止 WM_QUIT
快速提问。我有一个通过 PInvoke 使用 native DLL 的应用程序，这个 DLL 可能会调用 PostQuitMessage()。如何避免？ (因为我的应用程序不应该关闭) 我试过 A
javascript - 阻止 $(this) 元素上的事件
一些给定的 HTML 文章，例如: Content 与一些基本的 Jquery 结合使用，例如: $(".some_
Javascript 阻止 css？
我正在构建一个灯箱相册。当第一个图像加载时，CSS 转换起作用。当加载后的每个图像都没有。任何想法为什么？加载第一张之后的照片，但没有过渡。 Image.prototype.load = functi
android - 阻止/禁用最近使用的应用程序按钮
这个问题在这里已经有了答案: Disable recent tasks button on Android 5.0 (2 个答案) 关闭 2 年前。我知道这个问题之前在这里被问过 Android
iphone - 阻止 UIAlertViewDelegate
我是 Objective-C 的新手，我只是想弄清楚我是否可以使用 block 或选择器作为 UIAlertView 的 UIAlertViewDelegate 参数 - 哪个更合适？我已经尝试了以
c - 为什么不接受()阻止？
我是 Linux (UNIX) 套接字下套接字编程的新手。我在 Internet 上找到了以下代码，用于为每个连接生成一个线程的 tcp 服务器。但是它不起作用。accept() 函数立即返回，不等待
阻止 recv() 返回少于请求字节的情况
recv()库函数手册页提到: It returns the number of bytes received. It normally returns any data available, up
typescript - 阻止 WebStorm 建议索引导入
我有一个用于其他项目的共享 ts 库。在这个库中有被同一个库的其他资源使用的资源。该库的结构分为 components/*、interfaces/*、services/* 等目录。在每个目录的根目录中
Flutter 阻止 ListView 以新行显示
我想在同一行中一个接一个地显示我的 ListView ，但 ListView 显示每个新行中的每个项目。我怎样才能防止换行显示。以便它显示为段落 ListView.builder( shr
reactjs - 阻止 `useSelector` 重新渲染组件？
我有一个包含数千行的表格。 import React from "react" import { useSelector } from "react-redux"; import { useEffec
haskell - 阻止 GHC 警告我一个特定的缺失模式
假设我通常希望收到关于代码中不完整模式的警告，但有时我知道某个函数的模式不完整，我知道这很好。是still true GHC 的警告粒度是每个模块的，并且没有办法更改有关特定功能或定义的警告？最佳
javascript - 我如何知道浏览器通知是否被 Windows 阻止
我的网络应用程序发送浏览器通知，我知道如何检查通知的浏览器权限，以及如果未授予权限，如何请求权限。但是，即使用户授予我的站点发送通知的权限，她可能仍然无法收到通知，因为它们 might be dis
xcode - 阻止 Xcode 将文本转换为超链接？
我有 Xcode 3.2.1，并且喜欢使用它，但是当我编辑文本中带有超链接的文件时(例如，带有引用的注释:# see http://example.com)Xcode 将文本变成可点击的超链接。尝试编
excel - 阻止 Excel 将日期转换为数字
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。我们不允许在 Stack Overflow 上提出有关通用计算硬件和软件的问题。您可以编辑问题，使其成为
php - 阻止 Controller 执行
我有一个在 MY_Controller 中运行的 acl。如果权限被拒绝，那么此刻，我只是执行 redirect('denied') - 这是一个非常基本的 Controller ，它加载一个非常基本
firefox - 阻止 Firefox 缓存本地主机？
我一直很好奇尝试从 Chrome 切换到 Firefox Quantum，但是对于 Web 开发遇到了一个我无法轻松解决的主要障碍——它正在缓存我的本地主机文件，因此当我尝试在本地主机加载各种 emb
xcode - 阻止 Xcode 记住我以前打开的项目
这真的让我很兴奋!在任何时候，我都会参与多个项目。当我退出Xcode时，下次打开Xcode时，我前一天的所有项目都会自动一一打开。经常我最终编辑错误的文件，AHHHHHHHHHHH!我可以阻止这种行
wiki - MediaWiki大量用户删除/合并/阻止
我的Wiki上有500个左右的Spambot和大约5个实际注册用户。我已经使用nuke删除了他们的页面，但是他们一直在重新发布。我已经使用reCaptcha控制了spambot的注册。现在，我只需要一

首页

博学

6Ren·AI

商城

express - 加载被内容安全策略阻止的资源