注册
登录
大数据安全
对于
的Content-Security-Policy元使用什么值
返回
对于
的Content-Security-Policy元使用什么值
作者:
⑩Ⅵ嵗D夨憶
发布时间:
2024-12-12 02:24:08 (21天前)
转自:
<div class =“excerpt”> ://my-site.com/ {一些-GUID}” 因为它违反了以下内容 <span class =“result-highlight”> 安全 </跨度> <span class =“result-highlight”> 政策 </跨度> 指示: “media-src *”。 在我脑海里,我有这个: &lt; meta http-equiv =“Content- <span class =“result-highlight”> 安全 </跨度> - <span class =“result-highlight”> 政策 </跨度> “content =”media </DIV>
收藏
举报
2 条回复
0#
回复此人
别闹
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 消息说应用的CSP指令就是这样的事实 <code> media-src * </code> 而不是 <code> media-src * blob: </code> 似乎表明浏览器已经从中获得更严格的政策 <code> Content-Security-Policy </code> 标题,胜过你的自由政策 <code> meta </code> 元件。 </p> <P> 因此,如果您的网站实际上已经提供了服务 <code> Content-Security-Policy </code> 标题,然后你需要改变它的政策,使用更自由的 <code> media-src </code> 允许的指令 <code> blob: </code> 源。 </p> <P> 你不能覆盖更严格的 <code> Content-Security-Policy </code> 带有更宽松值的标头值 <code> meta </code> 在文件中。看到 <a href="https://w3c.github.io/webappsec-csp/#multiple-policies" rel="nofollow noreferrer"> https://w3c.github.io/webappsec-csp/#multiple-policies </A> 和 <a href="https://w3c.github.io/webappsec-csp/#meta-element" rel="nofollow noreferrer"> https://w3c.github.io/webappsec-csp/#meta-element </A> : </p> <BLOCKQUOTE> <P> 注意:通过a指定的策略 <code> meta </code> 元素将被强制执行 与受保护资源有效的任何其他策略无关 他们指定的地方。强制执行多重的一般影响 策略在 8.1中描述了多个策略的效果。 </p> <H3> 8.1。多种政策的效果 </H3> <P> 该 的行为 <code> XMLHttpRequest </code> 鉴于一个网站可能看起来不清楚, 无论出于何种原因,提供了以下HTTP标头: </p> <pre> <code> Content-Security-Policy: default-src 'self' http://example.com http://example.net; connect-src 'none'; Content-Security-Policy: connect-src http://example.com/; script-src http://example.com/ </code> </pre> <P> 是否允许连接到example.com?简短的回答是 不允许连接。 </p> <P> 执行这两项政策意味着 一个潜在的连接必须通过两个未受损害的。甚至 虽然第二个政策允许这种联系,但第一个政策 包含 <code> connect-src 'none' </code> ,因此它的强制执行阻止了连接。 </p> <P> 其影响是将其他策略添加到策略列表中 强制执行只能进一步限制受保护的功能 资源。 </p> </BLOCKQUOTE> </DIV>
编辑
登录
后才能参与评论
