我正在使用Firefox,并且在控制台中收到很多“内容安全策略”警告,
包括:
内容安全策略:页面的设置阻止以内联方式(“ script-src”)加载资源。
和
内容安全政策:在script-src或style-src中忽略“'unsafe-inline'”:指定了nonce-source或hash-source
例如,我在每个网站或几乎每个网站上都收到这些警告,例如,当我访问Gmail时收到很多警告,而在StackOverflow上收到的警告却很少,其中一些网站显示的次数更少,而某些网站显示的次数更多。
我最近开始使用webpack和其他更多的nodejs工具,这可能是这些警告的来源吗?
我可以采取什么措施来防止这种情况? 这是安全问题吗?
谢谢!:)
答案 0 :(得分:3)
如果我正确理解了您的问题,则似乎您是作为用户而不是开发人员来解决这个问题的。
我可以采取什么措施来防止这种情况?
一无所获,也不应该。
这是安全问题吗?
否。相反,在工作中保护您的浏览体验的安全性。
我可以采取什么措施来防止这种情况?
阅读为您的网站准备的CSP rules,并根据需要调整这些规则,以仅允许您允许网站正常运行。这是very broad topic。
我发现缺乏关于哪些资产被冻结以及为什么的澄清,这是Firefox控制台(V66)的一个主要缺陷,因为它没有充分说明CSP规则是什么越界以及哪些站点资产被阻止。我发现使用Google Chrome控制台可以向我提供此信息,并帮助我澄清了CSP以允许需要的内容。
这是安全问题吗?
不直接。这是安全的工作,可以保护网站访问者的浏览体验。一旦将CSP设置为允许网站的授权部分工作,就可以忽略将由CSP机制标记的其他部分(因为应该放弃不安全/不安全的事物)。