那些遇到过的问题

Facebook登录所需的CSP规则

Max*_*ime 5 facebook-javascript-sdk content-security-policy

允许Facebook登录的必备规则是哪些?

我目前允许这些:

defaultSrc: ["'self'",
        '*.facebook.com',
        '*.akamaihd.net'],
        scriptSrc: ["'self'",
         '*.facebook.com',
         '*.akamaihd.net',
         "'unsafe-inline'",
         "'unsafe-eval'"],
        frameSrc: [
        "'self'",
        '*.facebook.com',
        '*.akamaihd.net',
        styleSrc: ["'self'",
         "'unsafe-inline'"],
        imgSrc: ["'self'",
        '*.akamaihd.net',
        '*.facebook.com']
Run Code Online (Sandbox Code Playgroud)

Gus*_*ira 2

我只用

{
  'default-src': "'none'",
  'script-src': "'self' 'unsafe-inline' 'unsafe-eval' connect.facebook.net",
  'connect-src': "'self'",
  'img-src': "'self' www.facebook.com",
  'style-src': "'self' 'unsafe-inline'",
  'frame-src': "s-static.ak.facebook.com static.ak.facebook.com www.facebook.com",
}
Run Code Online (Sandbox Code Playgroud)

但我不确定是否缺少任何东西。我认为您不需要允许,*.akamaihd.net因为这只是 Facebook 使用的 CDN,并且 Facebook 登录不需要它。

更新:正如下面的评论所述,该解决方案违背了 CSP 的目的,并且绝对不推荐,因为它不安全。

  • 有没有办法在不添加“unsafe-inline”和“unsafe-eval”的情况下使其工作?这些选项可能会严重降低 CSP 的有效性 (10认同)
  • 这真的很糟糕,Facebook 需要解决这个问题,``'script-src':'unsafe-inline''unsafe-eval'` 违背了 CSP 的初衷……你最终找到了办法吗? (3认同)

归档时间:

查看次数:

1401 次

最近记录:

9 年 前
相关归档
Facebook JS SDK可以与Phonegap/Cordova一起使用吗? 10
内容安全政策是否可以与Google Analytics和AdSense兼容? 9
谷歌分析和子资源完整性 7
(CSP) 内容安全策略。处理从外部库添加的内联样式的方法 7
如何在 Spring Security xml 配置中为登录页面添加内容安全策略标头? 7
Facebook发送对话框标识是否已单击发送或取消 5
对JS SDK Facebook Events的性质感到困惑 4
内容安全策略时,mailto href 框架内不起作用 4
(CSP)connect-src https:// nikkomsgchannel 2
带有 Service Worker 的 CSP 1
难疑归档
如果目录尚不存在,如何mkdir? 1784
使用其名称(字符串)调用模块的函数 1580
如何有效地计算JavaScript中对象的键/属性数? 1452
如何从文件内容创建Java字符串? 1440
生成0到9之间的随机整数 1224
为什么我们需要C++中的虚函数? 1223
什么是(功能)反应式编程? 1149
PHP和枚举 1114
为什么人们在AWS出现时会使用Heroku?Heroku与AWS的区别是什么? 1082
如何测量函数执行所花费的时间 1057