那些遇到过的问题

内容安全策略 - data:image/svg+xml 在 img-src 中被忽略

Dav*_*bec 9 content-security-policy

我的 CSP 头看起来像这样(实际上,它只是与加载图像相关的部分),这应该是有效的。但是 Chrome 抱怨“内容安全策略指令‘img-src’的源列表包含一个无效的源:‘data:image/svg+xml’。它将被忽略。”

img-src data:image/svg+xml 'self' https://stats.g.doubleclick.net/r/collect https://www.facebook.com/tr/ https://www.google-analytics.com/r/collect data:image/svg+xml;
Run Code Online (Sandbox Code Playgroud)

它应该是有效的,我在网上的示例中找到了它,但它不起作用。例如,这里建议https://security.stackexchange.com/questions/94993/is-include-the-data-scheme-in-your-content-security-policy-safe/95011#95011

请提供有效且有效的示例,我迷失在这个迷宫中。

Ale*_*ček 10

您的示例 CSP 无效。根据MDN 文档,您应该只使用主机、模式或其他常量值。更正后,您的示例应如下所示:

img-src 'self' https://stats.g.doubleclick.net/ https://www.facebook.com/ https://www.google-analytics.com/ data:;

  • 谢谢!我见过很多例子,他们推荐使用 `data:image/svg+xml` 来缩小打开的区域。但这没有用。 (2认同)

归档时间:

查看次数:

6629 次

最近记录:

7 年,5 月 前
相关归档
当内容安全策略到位时,如何显示视频内容? 6
内容安全策略'self'在iOS 8.2上的移动Safari中不起作用? 6
CSP中来自“未定义”源的脚本是什么意思? 6
在 Apache Web 服务器中设置内容安全策略 6
HTTP Content-Security-Policy 标头对于 Struts 中的 script-src 无法正常工作 6
为什么这是CSP违规?当明确允许'self'时,blocked-uri = self 5
Phonegap Cordova 打开数据:系统浏览器中的 url 5
Django Stripe JS阻止内联脚本 5
内容安全策略:页面设置阻止加载内联资源(“default-src”) 5
Chrome扩展中的"拒绝加载脚本"错误 3
难疑归档
如何将空目录添加到Git存储库? 4039
在JavaScript中创建GUID/UUID? 3915
如何使用JavaScript复制到剪贴板? 3131
jQuery是否存在"存在"功能? 2669
如何在TextView中水平和垂直居中文本? 1932
如何从git repo中删除文件? 1795
是否有快速Git命令来查看旧版本的文件? 1438
如何迭代Bash中变量定义的一系列数字? 1409
wait()和sleep()之间的区别 1158
angular-route和angular-ui-router之间有什么区别? 1064