当脚本未能通过内容安全策略时,Disqus仅起作用
我一直在与博客页面上的Disqus断断续续的问题作斗争。这个问题很难解决,因为它会偶尔出现。
设法将问题归结为:
- 如果以下脚本由于内容安全策略而无法加载,则一切正常,并显示iframe。
- 将域添加到Disqus上的授权域列表中可以实现以下进展,并且该问题现在不那么普遍了,但是仍然不完美,刷新页面将阻止iframe加载,再次刷新并显示!
如果有人对我如何使它正常工作有任何想法,将不胜感激。
1 个答案:
答案 0 :(得分:0)
从表面上看,您的CSP排除列表中几乎没有任何指令。我建议如下:
-
使用report-uri之类的工具来报告您域中违反CSP的行为。根据我的经验,Report-URI可以节省生命。
-
如果您是第一次在应用程序中应用CSP策略,请从CSP-Report only开始。
HTTP Content-Security-Policy-Report-Only响应标头允许Web开发人员通过监视来试验策略(但 不强制执行)。这些违规报告包含JSON 通过HTTP POST请求发送到指定URI的文档。
这很重要,因为您不能手动检查所有违规情况。最好确定一段时间内的所有违规行为,并使您的CSP政策更具限制性。
- 一旦您对CSP策略有信心,那么您就可以更加自信地创建CSP策略。但是,请确保仍将违规行为报告给report-uri或您的日志记录。
其中许多事情都是反复试验,因为您不知道第三方库“ 受信任的 ”使用的脚本是什么。您也无法控制其代码/实现是否在后台更改。因此,监视可以帮助您不断确定违规情况并采取适当的措施。
相关问题
- 仅在Firefox中的内容安全策略报告
- 内容 - 安全 - 策略Spring Security
- Content-Security-Policy和Content-Security-Policy-Report-Only标头可以共存而不会相互干扰
- 内容安全性unsafe-eval策略仅适用于一个URL
- XSS - 内容安全策略
- 是否可以使用Content-Security-Policy来允许来自一个主机的内联脚本,但只允许来自其他主机的外部脚本?
- 来自本地主机路径的Content-Security-Policy-脚本
- 内容安全策略阻止列入白名单的脚本
- “内容安全策略”,信任“子级”脚本/样式
- 当脚本未能通过内容安全策略时,Disqus仅起作用
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?