具有 (CSP) 内容安全策略的 Angular 5 和 ASP.Net Core-6ren

具有 (CSP) 内容安全策略的 Angular 5 和 ASP.Net Core

转载作者：行者123 更新时间：2023-12-04 01:56:25

26

4

为了让我的 Angular 5 应用程序尽可能安全，我花了一些时间在 CSP 上，但努力让它工作。

我使用NWebSec启用了CSP，如下:

 app.UseCsp(options =>
        {
            options.DefaultSources(s => s.Self());
            options.ScriptSources(s => s.Self());
            options.StyleSources(s => s.Self().CustomSources("stackpath.bootstrapcdn.com"));
        }); // Use Content Security Policy

我使用以下方法构建了 Angular 应用程序:

ng build --aot --prod

ASP.Net Core 应用程序使用 app.UseStaticFiles() 中间件托管(构建的)Angular 应用程序。

我已经阅读了几篇文章，并试图找到一个关于如何让它工作的直接答案，但我无法通过这个错误，它源自/main.ae5fbeccd9ff1305a55c.js:

Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self' stackpath.bootstrapcdn.com". Either the 'unsafe-inline' keyword, a hash ('sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU='), or a nonce ('nonce-...') is required to enable inline execution.

我相信 Angular 正在创建导致这些错误的代码，解决方案是在构建应用程序时使用“--aot”命令，但这对我不起作用。

我已经在 Angular 5 和 Angular 6 上尝试过这个(甚至尝试过使用一个新的 Angular 项目)。同样的问题。

我的问题是:目前是否有推荐的方法让 Angular 5/6 与 CSP 一起工作，而不牺牲安全性？如果不是，那么下一个最好的事情是什么？

干杯

其他详细信息:Index.html(默认构建 Angular 6 应用程序)

<!DOCTYPE html>
<html lang="en">

<head>
  <meta charset="utf-8">
  <title>Default Angular App</title>
  <base href="/">
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="icon" type="image/x-icon" href="favicon.ico">
  <link rel="stylesheet" href="styles.34c57ab7888ec1573f9c.css">
</head>

<body>
  <app-root></app-root>

  <script type="text/javascript" src="runtime.6afe30102d8fe7337431.js"></script>
  <script type="text/javascript" src="polyfills.2903ad11212d7d797800.js"></script>
  <script type="text/javascript" src="main.ae5fbeccd9ff1305a55c.js"></script>
</body>

</html>

最佳答案

Angular 中 CSS 的处理不符合现代安全标准，因为样式在所有组件中保持内联(为此 here is a ticket)。到目前为止，我们不得不忍受 CSP header 中令人不快的 style-src 'unsafe-inline' 指令。

对于使用 Google 字体的简单应用，CSP header 可能看起来像

Content-Security-Policy: "default-src 'self'; style-src 'self' fonts.googleapis.com 'unsafe-inline'; font-src 'self' fonts.gstatic.com";

This post详细介绍了 Angular 中的 CSP 策略。

关于具有 (CSP) 内容安全策略的 Angular 5 和 ASP.Net Core，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/50313234/

26

4

0

文章推荐： r - geom_area 绘图区域的间隙

文章推荐： Hive 分区 - 如何删除 null 或 hive_default_partition

文章推荐： Cropper.js 以编程方式裁剪

.net-core - .NET Core 库中的 EF Core
主要思想是将 EF Core nuget 包添加到 .NET Core 库项目，然后在一堆应用程序(例如 ASP.NET Core、Win 服务、控制台应用程序)中使用该库，而无需在每个应用程序中配置
.net-core - Net Core Worker Windows服务中的EF Core DBContext
我想要实现的是编写一个简单的.net核心后台工作程序(.net core 3.1)的代码，在该工作程序作为Windows服务运行时，我在其中将数据写入SQL Server数据库(通过EF Core 3
asp.net-core - .Net Core 安装程序与 .Net Core 二进制文件有什么区别？
关于 .Net Core SDK download page 二进制文件有什么用？它与安装程序有何不同？最佳答案二进制文件是 .NET Core 的编译代码。它们拥有运行 .NET Core 所需
.net-core - .NET Core 和 Entity Framework Core 之间的区别
.NET Core 和 Entity Framework Core 之间的区别？我们可以在 .NET Core 中使用 Entity Framework Core 吗？两者都有什么优势？最佳答案 E
asp.net-core - .NET Core 与 ASP.NET Core
.NET Core 和 ASP.NET Core 到底有什么区别？它们是相互排斥的吗？我听说 ASP.NET Core 是基于 .NET Core 构建的，但它也可以基于完整的 .NET 框架构建。
asp.net-core - asp.net core/EF-Core mysql更新数据库错误
我对 ASP.NET Core 开发完全陌生。我正在尝试使用单个模型和 mysql 创建一个简单的 asp.net core Web api 来存储模型数据，然后我想使用 Swagger 将其作为 R
.net-core - .NET Core 和 Entity Framework Core 之间的区别
.NET Core 和 Entity Framework Core 之间的区别？我们可以在 .NET Core 中使用 Entity Framework Core 吗？两者都有什么优势？最佳答案 E
.net - 丢失版本和工具 : . NET Core、Core Tools、dotnet Core CLI，
好吧，作为一个新的 .net 开发生态系统，我有点迷失在核心工具、版本等方面。有人可以解释我之间的区别吗 VS 2015 核心工具预览版 x - See here .NET Core/SDK 与否
.net-core - SignalR Core Hub 与 BackgroundService .NET Core 交互
我已阅读有关如何通过信号器核心集线器从后台服务向客户端发送通知的文档。如何从客户端接收到后台服务的通知？后台服务应该只是一个单例。 public class Startup { public
asp.net-core - 为什么我应该选择 ASP.NET Core 和 .Net Core？
关闭。这个问题是opinion-based .它目前不接受答案。想改善这个问题吗？更新问题，以便可以通过 editing this post 用事实和引文回答问题. 4年前关闭。 Improve t
asp.net-core - 使用 NET Core 和 EF Core 构建谓词
非常简单的问题: 我正在尝试创建一个像这样的谓词构建器: var predicate = PredicateBuilder.False(); 但似乎在Net Core和EF Core中不可用。
asp.net-core - .NET CORE 自包含应用程序部署。 .NET Core 跨平台时为什么需要知道 RID
在 .NET Core 自包含应用程序中...我们需要在 project.json 中指定运行时 (RID) 我们希望我们的应用程序针对...发布为什么会这样？ .NET Core 是跨平台的，与我
core-data - Swift - 用 iCloud Core Data 替换 Core Data
如何用 iCloud Core Data 替换我现有的 Core Data？这是我的持久商店协调员: lazy var persistentStoreCoordinator: NSPersistent
asp.net-core-mvc - ASP.NET Core Razor 页面与完整 MVC Core
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 2 年前。 Improv
asp.net-core - 通过 Entity Framework Core 将多个数据库连接到 .NET Core API 项目
今天我正在学习新的 ASP.net 核心 API 3.1，我想将我的旧网站从 MVC4 转移到 Web API。除了一件事，一切都很好。数据库连接。在我的旧网站中，我为每个客户端(10/15 数据库)
.net-core - 如何创建我可以从 .NET Core App (Web API) 引用的 .NET Core 库
我在 Visual Studio 2015 Update 3 和 .NET Core 1.0 中工作。我有一个 .NETCoreApp v1.0 类型的 Web API 项目。当我添加一个 .NET
asp.net-core-mvc - ASP.Net Core 类库的 Entity Framework Core 迁移
我一直在尝试遵循 Ben Cull ( http://benjii.me/2016/06/entity-framework-core-migrations-for-class-library-proj
c# - 无法找到 .NET Core SDK。 .NET Core 调试将不会启用。确保 .NET Core SDK 已安装并且在路径上
当我打开我的 vs 代码程序时，我收到以下消息: 无法找到 .NET Core SDK。 .NET Core 调试将不会启用。确保 .NET Core SDK 已安装并且在路径上。如果我安装甚至卸载
asp.net-core - 如何解决 ASP.NET Core 2.0 应用程序 EF Core 使用中的大量内存分配问题？
我偶然发现了一个非常奇怪的问题。每当 Web 应用程序启动时，dotnet.exe 都会使用相当多的内存(大约 300M)。然而，当它触及某些部分时(我感觉这与 EF Core 使用有关)，它会在短时
c# - ASP.NET Core (.NET Core) 和 ASP.NET Core (.NET Framework) 的区别
ASP.NET Core Web (.NET Core) 与 ASP.NET Core Web (.NET Framework) 有什么区别？ .NET Framework 是否提供 similar

首页

博学

6Ren·AI

商城

具有 (CSP) 内容安全策略的 Angular 5 和 ASP.Net Core