clikjacking实施问题

时间:2016-04-12 11:36:14

标签: content-security-policy clickjacking

我添加了以下元标记,以避免在我的网站中进行点击劫持。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

但它抛出“拒绝应用内联样式,因为它违反了以下内容安全策略指令:”default-src'self'“。'unsafe-inline'关键字,一个哈希('sha256-CwE3Bg0VYQOIdkkB / Btdkhul49qZuwgNCMPgNY5zw =启用内联执行需要')或nonce('nonce -...')。另请注意,'style-src'未明确设置,因此'default-src'用作后备。“

1 个答案:

答案 0 :(得分:0)

添加

style-src 'unsafe-inline' 'self'

或者将内联CSS移动到外部文件。但是,即使存在一些风险,允许内联样式也是非常常见的。