注册
登录
大数据安全
如何让KendoUI MVC与内容安全策略一起使用
返回
如何让KendoUI MVC与内容安全策略一起使用
作者:
木木
发布时间:
2025-02-11 08:05:37 (2天前)
转自:
<div class =“excerpt”> 在使用ASP.NET MVC Kendo组件时,如何避免Telerik KendoUI创建内联脚本? 避免内联脚本的原因是遵循CSP标头 内容- <span class =“result-highlight”> 安全 </跨度> - <span class =“result-highlight”> 政策 </跨度> :script -src'self''unsafe-eval'https://kendo.cdn.telerik.com 而不是像以前那样得到错误 拒绝执行内联脚本,因为它违反了以下内容 <span class =“result-highlight”> 安全 </跨度> <span class =“result-highlight”> 政策 </跨度> 指令:“script-src </DIV>
收藏
举报
3 条回复
0#
回复此人
苞米地里的蒙面妖
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您可以控制在页面上呈现Kendo UI MVC内联脚本的位置,但无法完全删除它们。实际上,你可以,但是小部件不会初始化。 </p> <P> 考虑使用非MVC Kendo UI小部件: </p> <P> <a href="http://docs.telerik.com/kendo-ui/aspnet-mvc/kendo-ui-vs-mvc-wrappers" rel="nofollow"> http://docs.telerik.com/kendo-ui/aspnet-mvc/kendo-ui-vs-mvc-wrappers </A> </p> <BLOCKQUOTE> <P> Vanilla HTML / JavaScript Kendo UI小部件提供对初始化脚本放置的完全控制 - 服务器包装器在小部件的HTML输出之后立即呈现小部件的初始化脚本。即使你使用 <a href="http://docs.telerik.com/kendo-ui/aspnet-mvc/fundamentals" rel="nofollow"> 延迟初始化 </A> ,脚本仍保留在视图中。使用普通(非包装)Kendo UI小部件时,您自己编写初始化脚本并将其移动到外部脚本文件。 </p> </BLOCKQUOTE> <P> 另请记住,Kendo UI模板依赖于此 <code> eval </code> ,如果启用CSP,也会带来麻烦。 </p> </DIV>
编辑
1#
回复此人
雨儿
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我尝试使用Nuget的NWebSec CSP包(5.1.1 <a href="https://docs.nwebsec.com/en/aspnet4/index.html" rel="nofollow noreferrer"> https://docs.nwebsec.com/en/aspnet4/index.html </A> )但无法使用NWebSec'&lt;'content-Security-Policy&gt; Web.config中的部分。即使CSP在仅报告模式下看起来很好并且Kendo Widgets工作,但只要打开CSP,Widgets就会完全失败。 </p> <P> 我评论了'&lt;'内容 - 安全政策&gt; '&lt;'nwebsec&gt;的部分在Web.config中将我的所有CSP指令移回'&lt;'httpProtocol&gt; &LT;'customHeaders&GT;和剑道MVC(2018.1.322)现在有效。 </p> <P> 通过将NWebSec作为项目的一部分进行维护并添加 @将NWebsec.Mvc.HttpHeaders.Csp用于视图并将HTMLHelper应用到脚本标记中我为任何内联脚本生成一个自动生成的nonce'&lt;'script @ Html.CspScriptNonce()&gt;因此保留NWebSec仍然很有价值 </p> </DIV>
编辑
登录
后才能参与评论
