那些遇到过的问题

用 CSP 替换 X-Frame-Options

zil*_*anu 5 x-frame-options content-security-policy

我正在从 X-Frame-Options 迁移到内容安全策略以修复点击劫持漏洞。我的应用程序曾经SAMEORIGIN在 hteX-Frame-Options标头中设置策略。中的等效选项是Content-Security-Policy什么?

sid*_*ker 7

X-Frame-Options: SAMEORIGIN ? Content-Security-Policy: frame-ancestors 'self'

MDN CSP: frame-ancestors文章有更多细节。

https://w3c.github.io/webappsec-csp/#frame-ancestors-and-frame-options说:

该指令类似于X-Frame-Options多个用户代理已实现的标头。' none' 源表达式大致相当于该标头的DENY, ' self' 到SAMEORIGIN等。

归档时间:

查看次数:

3220 次

最近记录:

8 年,9 月 前
相关归档
即使'X-Frame-Options'是'ALLOWALL',也无法在iframe中显示我的rails 4 app 42
Content-Security-Policy如何与X-Frame-Options配合使用? 23
将 nonce 属性添加到自动生成的 WebForms 脚本 9
内容安全策略(CSP) - 安全使用unsafe-eval? 7
在单页应用程序中定义动态内容安全策略 6
拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self'” modernizr 5
在 www.pagespeed-mod.com 上获取 CSP 报告 4
破坏CSP规则的本地托管字体 3
我正在尝试理解内容安全策略框架祖先标签 3
为什么 CSP script-src unsafe-inline 会在我的 Angular Web 应用程序上引发样式问题? 3
难疑归档
如何异步上传文件? 2841
Git获取远程分支 2088
什么是反思,为什么它有用? 2011
如何计算列表项的出现次数? 1417
如何在JavaScript中将十进制转换为十六进制? 1387
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
简单的面试问题变得更难:给出数字1..100,找到丢失的数字 1115
如何检查对象是否在JavaScript中有密钥? 1047
如何在JavaScript中将浮点数转换为整数? 1043
功能编程是否取代了GoF设计模式? 1028