那些遇到过的问题

YouTube.com 的有效内容安全策略定义

Rav*_*ran 6 content-security-policy

我为使用 JavaScript 文件的应用程序之一定义了内容安全策略,https://www.youtube.com/iframe_api如下所示;

<meta http-equiv="Content-Security-Policy"
content="script-src 'self' https://www.youtube.com;
child-src https://www.youtube.com;">
Run Code Online (Sandbox Code Playgroud)

现在在 chrome 开发工具上,我收到以下错误:

拒绝加载脚本“ https://s.ytimg.com/yts/jsbin/www-widgetapi-vflaaT2_k/www-widgetapi.js ”,因为它违反了以下内容安全策略指令:“script-src 'self' https ://www.youtube.com ”。

我应该添加https://s.ytimg.com到内容安全策略设置中吗?

如果是,它是否构成安全风险,因为无法保证它是否会随着时间的推移而改变?

如何有效定义 YouTube 的内容安全策略?

Bar*_*ard 5

是的,这正是您需要做的。Ytimg 是 YouTube 的静态文件 CDN。

归档时间:

查看次数:

5220 次

最近记录:

7 年,2 月 前
相关归档
为什么通过标头传递内容安全策略是“首选”? 13
脚本导致"拒绝执行内联脚本:要么'unsafe-inline'关键字,哈希......或者nonce才能启用内联执行" 8
Flask CSP(Content-Security-Policy)针对跨站脚本等攻击的最佳实践 8
带有内容安全策略的iFrame Sandbox 6
捕获内容安全策略(CSP)错误 6
内容安全策略无效命令 5
installGlobalHook(window) 的 firefox csp 问题 5
内容安全策略:Google Chrome、Firefox 和 Microsoft Edge 之间的区别 5
用 CSP 反应 CRA:拒绝执行内联脚本 4
使用本地 htaccess 文件实施内容安全策略 (Apache) 2
难疑归档
可以(a == 1 && a == 2 && a == 3)评估为真吗? 2438
在JavaScript中定义枚举的首选语法是什么? 1982
PostgreSQL"DESCRIBE TABLE" 1790
为什么文本文件以换行符结尾? 1375
Python字符串格式:%vs. .format 1323
MVC和MVVM有什么区别? 1275
如何分析Python脚本? 1203
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
如何使用git merge --squash? 1101
如何查看运行我的脚本的Python版本? 1099