那些遇到过的问题

自我子域的内容安全策略

elk*_*med 10 security http

为了为self设置default-src,它将排除原始网站的子域.

default-src 'self'
Run Code Online (Sandbox Code Playgroud)

如何启用自我URL的子域?

Moh*_*jib 19

想添加一件事,通配符*.mydomain.com不覆盖主域mydomain.com,需要将其单独添加到策略中,如下所示。

default-src 'self' *.mydomain.com mydomain.com
Run Code Online (Sandbox Code Playgroud)

  • 除非主域是同一个 ss `self`。 (2认同)

Bar*_*ard 17

您需要使用完全限定的域明确添加它们:

default-src 'self' sub1.example.com sub2.example.com
Run Code Online (Sandbox Code Playgroud)

或者使用通配符:

default-src 'self' *.example.com
Run Code Online (Sandbox Code Playgroud)

  • 我不一定不同意。然而,这是做到这一点的唯一方法。CSP 没有“*.self”或“includeSubdomains”类型选项。自动检测可以发生在服务器端,并将适当的子域插入到策略中。 (5认同)
  • 你也可以使用通配符:default-src'self'*.example.com (3认同)

归档时间:

查看次数:

3679 次

最近记录:

8 年,6 月 前
相关归档
必须转义哪些字符才能阻止(我的)SQL注入? 15
读取和写入C中的pem文件的rsa键 15
身份验证中的nonce用法 14
发送GCM消息(服务器端)通常会失败 - 但远非总是如此 9
与RestKit同步 8
您应该在URL中使用复数或单数形式的文件夹名称 6
在角度6中重试HTTP请求 6
使用自定义 JCE 安全提供程序而不进行签名 5
如何在恒定时间内比较字符串? 5
字符串函数(C/C++)和安全性潜力的逐个错误 2
难疑归档
如何更新GitHub分叉存储库? 3390
在JavaScript中验证十进制数 - IsNumeric() 2318
如何格式化Microsoft JSON日期? 1954
如何在Linux中更改echo的输出颜色 1582
JavaScript发布请求,如表单提交 1465
如何在SQL SELECT中执行IF ... THEN? 1438
如何使用CSS设置<select>下拉列表的样式? 1258
Android Studio中的Gradle是什么? 1257
如何让ASP.NET Web API使用Chrome返回JSON而不是XML? 1220
什么是首选的Bash shebang? 1051