Описание тега content-security-policy
Политика безопасности контента (CSP) направлена на снижение риска атак с использованием межсайтовых сценариев, предоставляя разработчикам детальный контроль над ресурсами, которые страница может загружать, а также над сценарием, который ей разрешено выполнять.
1
ответ
CSP & SSL встроенный Javascript и как ссылаться извне
Я пытаюсь обернуть голову вокруг CSP(Content Security Policy), прежде чем добавить много "материала" на свой сайт. Я добавил следующий код в соответствии с видео Youtube и различными источниками документации, но у меня возникают проблемы с понимание…
10 июн '18 в 11:40
0
ответов
Сайт отлично работает на локальном хосте, но в производственной среде выдает ошибку политики безопасности контента
Ошибка отображается на консоли: 199483d564c61b347c.js: отформатирован:11 Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности содержимого: "default-src 'self'". Либо ключевое слово unsafe-inline,…
04 апр '18 в 18:33
2
ответа
Как переименовать файл при загрузке с веб-сайта, используя JavaScript?
У меня есть веб-страница, которая содержит ссылку на другой сайт в другом домене, например, "example.com \ abc.msi". когда я нажимаю на ссылку, файл начинает загружаться, но мне нужно переименовать этот файл при загрузке с этого сайта. Как я могу сд…
13 янв '16 в 08:26
2
ответа
Проблема с JavaScript (предупреждение CSP) в симуляторе Firefox OS
В настоящее время я тестирую учебное приложение Area Tweet (вы можете найти полный исходный код, перейдя по ссылке " Создание приложения Area Tweet") в ОС Firefox, и у меня возникает следующая проблема: приложение выполняет вызов API Twitter, но не …
08 фев '13 в 10:36
1
ответ
Проблемы CSP с checksession при использовании oidc-client.js
Я создаю SPA, используя oidc-client для входа в IDP, созданный с использованием Identity Server 4. Перенаправление входа в систему, кажется, работает нормально, но в Firefox я получаю следующие проблемы CSP Content Security Policy: Ignoring "'unsafe…
20 июн '17 в 11:05
1
ответ
Отказался от загрузки шрифта<URL>, поскольку он нарушает следующую директиву политики безопасности содержимого: "font-src *"
Это показывает ошибку в консоли Chrome. Отказался, чтобы загрузить шрифт "данные: шрифт / Woff;base64,d09GRgABAAAAAGVUABEAAAAAxuQAAQABAAAAAAAAAAAAAAAAAAAAAAAAAABHREVGAAABgAAAAC4AAAA0ArgC7UdQT1MAAAGwAAAQ6AAALgxKsqRTR1NVQgAAEpgAAAH3AAAELqI5y+RPUy8yAAA…
09 июн '18 в 18:40
0
ответов
Политика безопасности содержимого Spring Spring для веб-сервисов
У меня есть мой контекст безопасности, как показано ниже: <http entry-point-ref="serviceEntryPoint" pattern="/service/.*" use-expressions="true" request-matcher="regex" create-session="never"> <intercept-url pattern="/service/.*" access="ha…
06 апр '17 в 07:07
1
ответ
Проблема реализации
Я добавил следующий метатег, чтобы избежать кликбека на моем сайте. <meta http-equiv="Content-Security-Policy" content="default-src 'self'"> Но он выдает "Отказ от применения встроенного стиля, потому что он нарушает следующую директиву полити…
12 апр '16 в 11:36
1
ответ
Правила CSP заголовка Firebase
Так что я знаю, что могу добавить CSP в <meta> на моем сайте. Тем не менее, я прочитал, что лучше добавить их в свой заголовок HTTP. Я проверил в документации Firebase и вижу следующее: В настоящее время мы поддерживаем следующие заголовки в к…
21 мар '17 в 17:26
1
ответ
Источник: вызов eval() или связанной функции, заблокированной CSP
Я получаю следующую ошибку: Политика безопасности контента: Настройки страницы заблокировали загрузку ресурса самостоятельно ("default-src"). Источник: вызов eval() или связанной функции, заблокированной CSP. На сайте работает Laravel, но я представ…
22 авг '18 в 03:51
0
ответов
Как установить свойство Jenkins через консоль Script от curl и Groovy Script удаленно
Я просто хочу установить свойство Jenkins через консоль скриптов Jenkins. Но я не знаком с curl и Groovy сценарием. Так что я не знаю, как составлять данные. Не могли бы вы привести пример удаленной настройки свойства ниже Jenkins? Спасибо. System.s…
08 июн '18 в 10:44
1
ответ
Ошибки политики безопасности с Automator, выполняющим JavaScript с Safari
Я использую следующий скрипт Automator: on run {input, parameters} set updateCount to 0 read (item 1 of input) set ps to paragraphs of the result set tot to count ps set TLFile to (("Users:Admin:Desktop:") as text) & "titleList.txt" set TLLines …
26 мар '18 в 21:28
1
ответ
HLS на странице HTTPS для источников HTTP
Можно ли использовать источники без протокола SSL с HLS на странице и в списке воспроизведения, обслуживаемом по протоколу SSL HTTPS? У меня есть страница, обслуживаемая по HTTPS. Он использует Video.js для воспроизведения списка воспроизведения.m3u…
10 янв '18 в 23:40
1
ответ
Отслеживание разрешений политики безопасности в JavaScript
Несмотря на то, что установлены следующие заголовки: Access-Control-Allow-Origin: * Content-Security-Policy: default-src 'self' 'unsafe-inline' *.speech.is http://bits.speech.is https://bits.speech.is http://speech.is JavaScript все еще блокирует мн…
04 ноя '13 в 05:02
0
ответов
Встроенный скрипт нарушает директиву Content Security Policy
Я использую JQuery версии 3.3.1 и пытаюсь реализовать директивы Content Security Policy на моей веб-странице. Я получаю следующую ошибку: Отказался выполнять встроенный сценарий, поскольку он нарушает следующую директиву политики безопасности содерж…
10 фев '18 в 02:34
3
ответа
Скрипт API Google Maps загружается из-за политики безопасности контента
Я делаю расширение Google Chrome, где я хочу использовать карты Google. Проблема в том, что когда я запускаю свой скрипт, он выдает мне эту ошибку Refused to load script from 'https://maps.googleapis.com/maps/api/js?key=XXXXXXXXXXXXXXXX&sensor=f…
05 ноя '12 в 09:00
2
ответа
Антисамия или политика безопасности контента или и то, и другое для предотвращения атаки XSS
Недавно я много изучал, связанный с XSS-атаками. Я искал методы предотвращения атаки XSS. Я наткнулся на библиотеку под названием "Антисамия", предложенную OWASP. AntiSamy - это фильтр HTML, CSS и JavaScript для Java, который очищает пользовательски…
19 фев '14 в 10:36
1
ответ
Обработка ошибок CSP
Я пишу клиентскую программу для подключения к веб-сайту через HTTP/HTTPS. Программа сначала пытается подключиться к серверу, используя HTTPS. Однако после получения кода состояния ответа 301 я пытался обрабатывать запрос с HTTP каждый раз, когда ест…
29 окт '17 в 03:03
1
ответ
Политика безопасности контента getJSON
Извините за мой английский, У меня есть следующий код в моем HTML: <script type="text/javascript" src="plugin.js"></script> В моем JS: $(document).ready(function() { $.getJSON("https://api.twitch.tv/kraken/streams/"+"NameOfStreamer"+"?ca…
20 апр '15 в 20:11
0
ответов
Не удается решить проблемы Content-Security-Policy с ReCaptcha 2
Это, я полагаю, еще один вариант пары замечаний, касающихся CSP и recaptcha; Я проверил это, но они не помогли. Вот моя ситуация: FWIW, базовый сайт - это довольно сильно настроенная кодовая база Drupal 7. Я не делал каких-либо явных CSP в конфигура…
20 июн '18 в 23:10