- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
登录表单被 CSP 阻止,我不明白为什么
Chrome 版本 94.0.4606.61
错误信息:
Refused to send form data to'https://subdomain.mydomain.com/login/local' because itviolates the following Content Security Policy directive: "form-action'self' https: *.mydomain.com".
火狐没问题
最佳答案
这是因为在登录期间,您通过 form-action
指令中不允许的主机源执行重定向(端口、方案、域名/子域名不匹配)。
重定向时,CSP 检查整个源链,但浏览器在 form-action
for redirects 的行为上存在差异。 :
Chrome/Safari 将提交表单时的重定向视为潜在危险,因为敏感的用户数据可能会重定向到攻击者的域。因此,如果 form-actions
中不允许的主机源(域)参与重定向链,它们将阻止重定向。
Firefox 认为服务器重定向受 CSP 保护的页面所有者的控制。因此,在重定向期间,它允许您在重定向期间将表单发送到第三方域。
注意 1. 'self'
表示与地址栏中的 Url 完全相同的 scheme://domain:port
。因此 CSP:
form-action 'self' https: *.mydomain.com
如果 Url 是 HTTPS://subdomain.mydomain.com
上面的 CSP 变成了 form-action HTTPS://subdomain.mydomain.com https: HTTPS://*.mydomain.com
whis 等于 form-action https:
- 它允许除 http:
-Urls 之外的任何内容。
如果 Url 是 HTTP://subdomain.mydomain.com
,上面的 CSP 就变成了 form-action HTTP://subdomain.mydomain.com https: HTTP ://*.mydomain.com
并且它不允许主域 mydomain.com
。
注意2.消息中的Url https://subdomain.mydomain.com/login/local
:
Refused to send form data to 'https://subdomain.mydomain.com/login/local' because it violates ...`
不网址真的被 Chrome 阻止了。这只是重定向链中的第一个 Url。
注意 3. 如果 CSP 毕竟阻止了允许的域,它很可能是 interference of browser extensions如NoScript/uBlock/AdBlock/PrivacyBadger等干扰。
关于google-chrome - 表单操作 CSP 阻止允许的 URL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69433198/
假设我拥有域 mydomain.com,并且我在服务器上有一个 Web 应用程序,网址为 http://99.99.99.99:1234/MyApplication/startpage.somethi
我正在尝试通过以下方式更新已解析的 URL: u, _ := url.Parse(s) if u.Scheme == "" { u.Scheme = "https" } if u.Path =
如何将 www.somesite.com/api(.*) 映射到 www.somesite.com/$1:9000? (我需要将/api 映射到运行 @ 端口 9000 的 Play 框架应用程序)
我有一个资源结构,如航类 > 座位 > 预订,所以预订属于某个航类的某个座位: http://example.com/jdf_3prGPS4/1/jMBDy46PbNc
我想知道以下网址是否有效。 路径中的点,在主机之后: http://www.example.com/v.b.w..com 主机中的点,作为子域的一部分: http://v.b.w..co.manufa
我有两个域 - crmpicco.co.uk 和 ayrshireminis.com - 如果我浏览到: www.crmpicco.co.uk/mini/new我希望能够重定向到 www.ayrshi
我正在尝试使用 URL 重写和应用程序请求路由来重写到外部 URL。我设置了以下规则: 在规则中,“patternToMatch”是我试
我已经安装了带有 SharePoint 和 Url Rewrite 模块的 IIS 7.0。 是以下句子还是我配置错误才能看到这个结果? Url Redirect 可以将 url 重定向到任何内部(在
我想知道,为了获得良好的 SEO,您必须在 URL 中使用自然语言。您知道字符中单词或短语的最大大小吗?例如: www.me.com/this-is-a-really-long-url.htm 我问这
有人知道在 SEO 友好 URL 中使用逗号有什么问题吗?我正在使用一些在其 SEO 友好 URL 中使用大量逗号的软件;但我 100% 肯定我见过一些程序/平台无法正确识别 URL 并在第一个逗号后
我有一个网站,我正在为所有链接使用干净的 URL。我想知道对于简短的基本 URL 与较长的描述性 URL 有何看法。 例如,如果我的网站是关于 Georgia Bulldog 足球新闻的,那么哪个网站
我正在编写一个类似于 tinyurl 的 URL 缩短器,我想知道如何跟踪已经使用我的服务缩短的 URL?例如,tinyurl 为相同的长 URL 生成相同的小 URL,而不管是谁创建的。如
我是 magento 的新手。我正在开发一个模块。为此,我有一些要显示链接的 css 和 js 文件。我目前有类似 的链接 getSkinUrl('module_tryouts/css/jquery.
我想基于 HTTP_URL 重写 URL 以重定向到不同的端口,同时保留其余的 URL 和查询字符串(如果指定)。例如, http://host/john/page.aspx 应该重定向到 http:
我遇到了以下问题: 我的 Grails (2.2.0) 应用程序具有以下 URL 映射: "/api/clientQuote/$labcode/$cliCode/$quoCode"(controlle
我有一个很长的 URL,它不适合 URL 字段。它一直在修剪。该怎么办?有没有办法增加 SharePoint 2010 中的 URL 字段字符限制? 或者解决方法来容纳长 URL。例如,以下 URL
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 9年前关闭。 Improve this que
我们从客户以前的开发人员那里继承了相当多的 Google Apps 脚本项目。 Apps 脚本通过嵌入式小部件部署在 Google 网站 (sites.google.com) 的各个页面上。每当我们需
我正在编写一些文档,但遇到了一些词汇问题: http://www.example.com/en/public/img/logo.gif 被称为“绝对”网址,对吗? ../../public/img/l
我们从客户以前的开发人员那里继承了相当多的 Google Apps 脚本项目。 Apps 脚本通过嵌入式小部件部署在 Google 网站 (sites.google.com) 的各个页面上。每当我们需
我是一名优秀的程序员,十分优秀!