个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
目前我正在定义如下内容安全策略(CSP);
Header set Content-Security-Policy: "default-src 'self' data:; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;"
unsafe-inline有什么用如果它实际上不保护?
最佳答案
unsafe-inline在当前站点中移动或重写内联代码时使用该选项不是一个直接的选项,但您仍想使用 CSP 来控制其他方面(例如 object-src,防止注入(inject)第三方 js 等)。你是对的 unsafe-inline不提供太多安全性,因为它允许执行不安全的页内脚本和事件处理程序。
谷歌的 CSP Evaluator是一个很好的工具,可以确定您的政策是否强大。unsafe-inline 的用例使用的选项可以在 Google 的 Web Developer documentation on Content Security Policy 中找到:
A wedding-ring discussion forum admin wants to ensure that all resources are only loaded via secure channels, but doesn't really write much code; rewriting large chunks of the third-party forum software that's filled to the brim with inline script and style is beyond his abilities. The following policy would be effective:
Content-Security-Policy: default-src https:; script-src https: 'unsafe-inline'; style-src https: 'unsafe-inline'Even though
https:is specified indefault-src, the script and style directives don't automatically inherit that source. Each directive completely overwrites the default for that specific type of resource.
关于security - 如果允许 unsafe-inline,CSP 会保护我们什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40144915/
24
4
0
当我读这本书 -- 人工智能(一种现代方法)时,我遇到了以下描述将 n 元约束搜索问题转换为二进制问题的方法的句子: Another way to convert an n-ary CSP to a
我的Web应用程序(JS部分)需要在加载之前由服务器配置。现在它是通过以下方式完成的: var configObj = { setting1: "blah", setting2: {val1: 1,
作为开发人员,我应该为windows提供什么智能卡登录功能?只有微型驱动程序 + 现有的基础智能卡 csp 工作吗或者,如果我开发了一个完整的 CSP,我可以让智能卡登录正常工作吗? 最佳答案 你应该
在一些 css 文件中嵌入一些 base64 字体,但 CSP 阻止了这些:类似于 url("data:font/woff;base64,d09GRk9UVE...); 当前 CSP =“base-u
CSP的理念:以通信的方式来共享内存 不要通过共享内存来通信,而要通过通信来实现内存共享。这就是 Go 的并发哲学,它依赖 CSP 模型,基于 channel 实现。Go 一开始就把 CSP 的思想融
在上一篇博客我们主要总结了XSS攻击,本篇博客主要总结内容安全策略CSP的相关内容。 一、定义 内容安全策略(CSP),是一种安全策略,其原理是当浏览器请求某一个网站时,告诉该浏览器申明文件可以执行,
我正在开发一个 Flask 应用程序,它使用 Flask-Talisman 来合并一个 CSP。我想在我的模板之一中创建一个内联脚本,而不是将“unsafe-inline”添加到 CSP 的“scri
我注意到 GitHub 和 Facebook 现在都在实现这项政策,这限制了第三方脚本在他们的体验/站点中运行。 有没有办法使用 检测文档是否针对 CSP 运行? JavaScript ? 我正在编写
我一直在努力寻找最好的管理访问权限的方法,并允许我们的技术人员访问我们的客户订阅和 Azure 资源,而不给予他们作为每个订阅的贡献者或类似权利的明确权利。 现在我遇到了权限身份管理功能( https
我正在学习内容安全策略。 假设我的网站 abc.com 有以下 csp: default-src 'self' 'unsafe-inline' 'unsafe-eval' xyz.com 这是否意味着
我一直在努力寻找最好的管理访问权限的方法,并允许我们的技术人员访问我们的客户订阅和 Azure 资源,而不给予他们作为每个订阅的贡献者或类似权利的明确权利。 现在我遇到了权限身份管理功能( https
我了解使用 CSP 的好处,但是发送这些 header 用于 HTML 文件以外的任何内容是否浪费?例如,我是否需要在图像上发送 CSP header ?对于 .js 文件? 最佳答案 Content
Closed. This question needs to be more focused。它当前不接受答案。 想改善这个问题吗?更新问题,使其仅通过editing this post专注于一个问题
有许多用于 JavaScript 的图表绘制库,例如 Chart.js 或 Chartist.js。但是,我们无法找到任何适用于严格 CSP-Mode 的库。 .我们测试的所有库都使用 eval 或默
如何获取已连接智能卡的 CSP 提供商名称? 我无法访问注册表窗口,因此我找到了通过 win API 获取该信息的方法。 我已经看过有关 SCardGetCardTypeProviderName 的内
我正在编写一个使用智能卡进行 xml 签名的简单程序。 示例代码: var cspParams = new CspParameters(1, "Microsoft Base Smart Card Cr
我正在尝试编写自己的 CSP。我正在尝试通过实现一个 dll 文件来做到这一点,但我不确定我的方法是否正确。 我发现了这样的东西:加密服务提供商开发人员工具包 (CSPDK) 有 CSP API 的示
下册开学期末+CSP-J游记 Day -14 期末 Day -7 今天家长会,老师公布成绩 /fn/fn/fn。政治和历史考废了,然后其他都挺好。 语文 \(101\
当我从 TFS 服务器运行构建时,出现以下错误:无法导入以下 key 文件:C:\TfsData\Build_work\fa450055\EXChecker 2015\signingKey.pfx。
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
我是一名优秀的程序员,十分优秀!