那些遇到过的问题

nodeJS - 我可以在哪里放置内容安全策略

use*_*410 8 html javascript node.js content-security-policy

我找到了这个CSP片段,但我不知道将它放在HTML中的哪个位置.

Content-Security-Policy: script-src 'self' https://apis.google.com
Run Code Online (Sandbox Code Playgroud)

解?

var policy = "default-src 'self'";
http.createServer(function (req, res) {
    res.writeHead(200, {
        'Content-Security-Policy': policy
    });
});
Run Code Online (Sandbox Code Playgroud)

小智 10

您只需要在HTTP标头中设置它,而不是HTML.这是一个带有静态服务器的express 4的工作示例:

var express = require('express');
var app = express();


app.use(function(req, res, next) {
    res.setHeader("Content-Security-Policy", "script-src 'self' https://apis.google.com");
    return next();
});

app.use(express.static(__dirname + '/'));

app.listen(process.env.PORT || 3000);
Run Code Online (Sandbox Code Playgroud)

如果您想了解有关CSP的更多信息,这是一篇非常好的文章:http://www.html5rocks.com/en/tutorials/security/content-security-policy/

希望有所帮助!

  • 如果有此帮助,这里是我正在使用的Express中间件层,以易于更新的方式设置CSP标头-https://medium.com/@mdp/csp-in-express-js-node-157d040f2f00 (2认同)

归档时间:

查看次数:

10188 次

最近记录:

6 年,4 月 前
相关归档
D3数据与数据有什么区别? 187
Javascript对象文字:究竟是什么{a,b,c}? 82
如何在HTML中嵌入字体? 77
基于Webkit的模糊/失真文本后期动画通过translate3d 54
如何处理Redux中复杂的副作用? 45
设置包含&符号(&)的主题的mailto链接 24
如何使用node-fetch发送cookie? 24
从NodeJS内部调用Express Route 17
如何在Node.js + Express + Mongoose + Jade中处理表单验证,尤其是嵌套模型 14
Express 3.0 req.flash? 13
难疑归档
浮点数学是否破碎? 2798
SCSS和Sass有什么区别? 1760
使div填充剩余屏幕空间的高度 1743
正确使用IDisposable接口 1586
为什么在允许某些Unicode字符的注释中执行Java代码? 1326
谁正在侦听Mac OS X上的给定TCP端口? 1267
如何从GET参数中获取值? 1255
如何从主机获取Docker容器的IP地址? 1221
如何使用jQuery设置/取消设置cookie? 1209
如何让jQuery执行同步而非异步的Ajax请求? 1173