jos*_*hlf 20 javascript xss http-headers web content-security-policy
是否可以将Content-Security-Policy配置为不阻止任何内容?我正在运行计算机安全类,我们的网络黑客项目在新版Chrome上遇到问题,因为没有任何CSP标头,它会自动阻止某些XSS攻击.
Rai*_*inb 19
对于那些仍然想要更宽松的帖子的人来说,因为上面的答案只是不够宽容,而且他们必须使用谷歌浏览器,这*是不够的:
default-src * data: blob: 'unsafe-inline' 'unsafe-eval';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
zer*_*iko 15
它根本不安全,但作为起点, 真正允许所有政策是:
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
请参阅:https://content-security-policy.com/和本SCP迁移指南.
最好的方法是不应用任何政策.
但要回答你的问题,"允许所有政策"可能是:
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
注意:未经测试
这是允许 CSP 中的所有内容的 htaccess 代码
Header add Content-Security-Policy "default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; connect-src * data: blob: 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src * data: blob: ; style-src * data: blob: 'unsafe-inline'; font-src * data: blob: 'unsafe-inline';"