文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >内容-安全性-策略-无法加载外部脚本

内容-安全性-策略-无法加载外部脚本
EN

Stack Overflow用户
提问于 2019-12-23 08:28:50
回答 1查看 1.3K关注 0票数 0

对于一个私人项目,我想从我的主页加载一些外部图像,脚本和样式,但它不工作。哪里出错了?

Nginx Config-文件

代码语言:javascript
复制
location / {
            index  index.php index.html index.htm;
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            server_tokens off;
            add_header X-Frame-Options SAMEORIGIN;
            add_header X-Content-Type-Options nosniff;
            add_header X-XSS-Protection "1; mode=block";
            add_header Content-Security-Policy  "default-src *; script-src *; object-src *; style-src *; img-src *; media-src *; frame-src *; font-src *; connect-src *";
            add_header X-Content-Security-Policy "default-src *; script-src *; object-src *; style-src *; img-src *; media-src *; frame-src *; font-src *; connect-src *";
            add_header X-WebKit-CSP "default-src *; script-src *; object-src *; style-src *; img-src *; media-src *; frame-src *; font-src *; connect-src *";

}

HTML元标签:

代码语言:javascript
复制
<meta http-equiv="Content-Security-Policy" content="default-src *; script-src *; style-src *; img-src *; font-src *; connect-src *; media-src *; object-src *; prefetch-src *; child-src *; frame-src *; worker-src *; frame-ancestors *; form-action *; sandbox allow-forms allow-same-origin allow-scripts allow-top-navigation allow-popups allow-pointer-lock; reflected-xss allow; base-uri *; manifest-src *;" />
    <meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src *; object-src *; style-src *; img-src *; media-src *; frame-src *; font-src *; connect-src *">
    <meta http-equiv="X-WebKit-CSP" content= "default-src *; script-src *; object-src *; style-src *; img-src *; media-src *; frame-src *; font-src *; connect-src *">
javascript
html
content-security-policy
EN

回答 1

Stack Overflow用户

发布于 2019-12-23 11:27:58

问题在于*只与网络方案URL (http/https/ftp等)匹配。所以你可以

将网络方案URL添加到策略(如myserver.com)

  • Add cdvfile:到策略

中)

我会用你的主页网址制作一个default-src,并删除所有其他来源。如果只允许从同一来源加载内容,则应将CSP源设置为'self' (万一您的项目托管在主服务器上)。

配置中的大多数CSP指令都是多余的,例如:如果希望允许任何URI作为站点的基URI,则应该删除base-uri。我建议审查每一个指令,以获得必要的结果。CSP有一份很好的备忘录:https://content-security-policy.com/

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/59452164

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档