是否可以将Content-Security-Policy配置为不阻止任何内容?我正在运行计算机安全类,我们的网络黑客项目在新版本的Chrome上遇到问题,因为没有任何CSP标头,它会自动阻止某些XSS攻击。
答案 0 :(得分:9)
它根本不安全,但正如盯着真正允许所有政策:
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
请参阅:https://content-security-policy.com/和this SCP migration guide。
答案 1 :(得分:9)
对于仍希望获得更多宽松职位的人,因为上面的答案还不够宽松,他们必须使用*不够的Google chrome:
default-src * data: blob: 'unsafe-inline' 'unsafe-eval';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
答案 2 :(得分:6)
最好的方法是不应用任何政策。
但要回答你的问题,"允许所有政策"可能是:
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
注意:未经测试
答案 3 :(得分:3)
这是htaccess代码,允许CSP中的所有内容
Header add Content-Security-Policy "default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; connect-src * data: blob: 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src * data: blob: ; style-src * data: blob: 'unsafe-inline'; font-src * data: blob: 'unsafe-inline';"