拒绝加载脚本，因为它违反了以下内容安全策略指令

作者: Jacob
发布时间: 2024-09-15 02:54:27 (25天前)
转自：

7 条回复

0#
回复此人
猫南北 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> MagngooSasa给出的自动答案可以解决问题，但对于其他任何试图理解答案的人来说，这里有一些细节： </p> <P> 在使用Visual Studio开发Cordova应用程序时，我尝试导入远程javascript文件[位于此处 <a href="http://Guess.What.com/MyScript.js]" rel="noreferrer"> http://Guess.What.com/MyScript.js] </A> ，但有标题中提到的错误。 </p> <P> 这是项目的index.html文件中的元标记BEFORE </p> <pre> <code> <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *"> </code> </pre> <P> 以下是CORRECTED元标记，允许导入远程脚本： </p> <pre> <code> <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *;**script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval';** "> </code> </pre> <P> 没有更多的错误！ </p> </DIV>

编辑
1#
回复此人
一号位 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 对于寻求完整解释的任何人，我建议您查看内容安全策略： <a href="https://www.html5rocks.com/en/tutorials/security/content-security-policy/" rel="nofollow noreferrer"> https://www.html5rocks.com/en/tutorials/security/content-security-policy/ </A> 。 </p> <BLOCKQUOTE> <P> “代码来自 <a href="https://mybank.com" rel="nofollow noreferrer"> https://mybank.com </A> 应该只能访问 <a href="https://mybank.com" rel="nofollow noreferrer"> https://mybank.com </A> s数据，和 <a href="https://evil.example.com" rel="nofollow noreferrer"> https://evil.example.com </A> 应该当然永远不允许访问。每个起源都与之隔离网络的其余部分“ </p> </BLOCKQUOTE> <P> XSS攻击基于浏览器无法区分您的应用程序代码和从其他网站下载的代码。因此，您必须使用以下内容将您认为安全的内容来源列入白名单 <code> Content-Security-Policy </code> HTTP标头。 </p> <P> 此策略使用一系列策略指令进行描述，每个指令都描述特定资源类型或策略区域的策略。您的策略应该包含default-src策略指令，当它们没有自己的策略时，它是其他资源类型的后备。 </p> <P> 因此，如果您将标记修改为： </p> <pre> <code> <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *;**script-src 'self' http://onlineerp.solution.quebec 'unsafe-inline' 'unsafe-eval';** "> </code> </pre> <P> 您是说您正在授权执行Javacsript代码（ <code> script-src </code> ）从起源 <code> 'self' </code> ， <code> http://onlineerp.solution.quebec </code> ， <code> 'unsafe-inline' </code> ， <code> 'unsafe-eval' </code> 。 </p> <P> 我想前两个对你的用例是正确有效的，我对其他的有点不确定。 <code> 'unsafe-line' </code> 和 <code> 'unsafe-eval' </code> 提出安全问题，所以你不应该使用它们，除非你有一个非常具体的需要： </p> <BLOCKQUOTE> <P> “如果eval及其文本到JavaScript的兄弟们是完全必要的在您的应用程序中，您可以通过添加'unsafe-eval'来启用它们在script-src指令中允许使用source。但是，请再说一次。禁止执行字符串的能力使其变得更加困难攻击者在您的网站上执行未经授权的代码。“（Mike West，Google） </p> </BLOCKQUOTE> </DIV>

编辑
2#
回复此人
威斯特 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 我们用过这个： </p> <pre> <code> <meta http-equiv="Content-Security-Policy" content="default-src gap://ready file://* *; style-src 'self' http://* https://* 'unsafe-inline'; script-src 'self' http://* https://* 'unsafe-inline' 'unsafe-eval'"> </code> </pre> </DIV>

编辑
3#
回复此人
纾潆锦袖迷子 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 尝试使用以下内容替换元标记： <BR/> </p> <P> </p> <pre> <code> <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' http://* 'unsafe-inline'; script-src 'self' http://* 'unsafe-inline' 'unsafe-eval'" /> </code> </pre> <P> 或者除了你所拥有的，你应该添加 <code> http://* </code> 二者皆是 <code> style-src </code> 和 <code> script-src </code> 如上所述，在“自我”之后加入 </p> <P> 如果你的服务器包括在内 <code> Content-Security-Policy </code> 标题，标题将覆盖元。 </p> </DIV>

编辑
4#
回复此人
小狮子 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 详细说明这个添加 </p> <pre> <code> script-src 'self' http://somedomain 'unsafe-inline' 'unsafe-eval'; </code> </pre> <P> 像这样的元标记 </p> <pre> <code> <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; script-src 'self' https://somedomain.com/ 'unsafe-inline' 'unsafe-eval'; media-src *"> </code> </pre> <P> 修复错误 </p> </DIV>

编辑
5#
回复此人
纾潆锦袖迷子 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 解决了 </p> <pre> <code> script-src 'self' http://xxxx 'unsafe-inline' 'unsafe-eval'; </code> </pre> </DIV>

编辑

登录后才能参与评论