gpt4 book ai didi

javascript - CSP 安全使用 'unsafe-inline' 'unsafe-eval'

转载 作者:行者123 更新时间:2023-12-04 09:15:16 28 4
gpt4 key购买 nike

我是后端开发人员,正在帮助前端团队部署 Web 服务器,同时我正在研究遇到内容安全策略的漏洞,如果我将 CSP header 设置为“内容安全策略:默认源代码‘自我’数据: {own_domain_1} {own_domain_2}",网站不工作,前端团队告诉我添加 'unsafe-inline' 和 'unsafe-eval' 不会造成威胁,因为从中加载数据的域是我们自己的,但我没有遇到任何提出这种说法的文件,是真的吗?如果不是,你能指出我的文件,这样我就可以把它带给我的上级。提前致谢。

最佳答案

如果可以避免 unsafe-inline 和 unsafe-eval,那肯定会更好。
看到/需要不安全内联的通常原因是页面上有内联样式或样式标签。将所有内容移至您的 css 文件并仅使用类。
除非有一个非常有力的理由,否则你不应该允许 unsafe-eval。即使你发现这个非常强大的案例,你也应该问问自己这个功能是否真的有必要。
这两个公开的严重漏洞,不仅来自第 3 方用户,还来自您自己的员工 - 不要仅仅因为他们告诉您而信任他们。脚本注入(inject)是一个严重的安全问题。

关于javascript - CSP 安全使用 'unsafe-inline' 'unsafe-eval',我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63253952/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com