内容 - 安全 - 政策问题
我在htaccess中使用下面的代码但由于某种原因我在控制台中收到错误消息。知道问题是什么吗?
谢谢,
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
1 个答案:
答案 0 :(得分:0)
您的网页上有一个内嵌脚本,例如:
<script>
...
</script>
这可以直接在您的HTML或使用的组件中(例如,您拉入到您页面的Facebook小部件添加此内容),也可以在浏览器使用的浏览器扩展程序中使用。
您可以通过在配置中添加unsafe-inline来允许此在线脚本,如下所示:
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
然而,这将破坏内容安全策略(CSP)的大部分保护,CSP专门用于防止为您的站点运行的流氓脚本,以防止跨站点脚本(XSS)等安全问题。
我建议你在实施之前先阅读更多关于CSP的内容。可以在这里建议我自己的博客作为首发:https://www.tunetheweb.com/security/http-security-headers/csp/
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?