那些遇到过的问题

内容安全策略“框架祖先”指令在 <meta> 元素中不起作用

Kri*_*nya 4 clickjacking content-security-policy

作为点击劫持的一部分,我们正尝试将 CSP 标头作为元标记添加到我们的 angular 项目中。下面是html

<!doctype html>
<html lang="en">
<head>
  <meta http-equiv="Content-Security-Policy" content="frame-ancestors 'self'">
  <meta charset="utf-8">
  <title>QA Eval Webapp</title>
  <base href="/">

  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="icon" type="image/x-icon" href="favicon.ico">
</head>
<body>
  <app-root></app-root>
</body>
</html>
Run Code Online (Sandbox Code Playgroud)

但是,当我们尝试将页面作为 iframe 加载时,它会加载。我们已经在谷歌浏览器中进行了测试。

为了解决这个问题,我们构建了 angular 项目,将 dist 下的文件移动到了一个 Web 应用程序,添加了一个过滤器以将 CSP 标头添加到每个请求的响应中。下面是代码

package com.web.beginner;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletResponse;

@WebFilter(urlPatterns="/*", filterName = "cspfilter")
public class CSPFilter implements Filter {

    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("Content-Security-Policy", "frame-ancestors 'self'");
        chain.doFilter(request, response);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub

    }

}
Run Code Online (Sandbox Code Playgroud)

这有效。

为什么在元标记中添加 CSP 标头时不起作用?我什至检查了https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy,他们提到在元标记中添加 CSP。

我知道 X-FRAME-OPTIONS 不支持 html 元标记。内容安全策略也一样吗?还是 chrome 忽略了元标记中的 CSP?

sid*_*ker 5

frame-ancestors如果在meta-element 策略中指定,则规范要求浏览器忽略。

因此,要应用frame-ancestors策略,您必须使用Content-Security-Policy标头。

规范引用

请参阅CSP 规范中的https://w3c.github.io/webappsec-csp/#meta-element,特别是:

注意:元素内部支持Content-Security-Policy-Report-Only标题。无论是,和指令。metareport-uriframe-ancestorssandbox

https://html.spec.whatwg.org/multipage/semantics.html#attr-meta-http-equiv-content-security-policy内容安全策略状态 ( http-equiv="content-security-policy")算法的第 4 步(“此编译指示强制执行DocumentHTML 规范中关于 ) 的内容安全策略要求:

删除的所有匹配report-uriframe-ancestors以及sandbox指令

归档时间:

查看次数:

6195 次

最近记录:

7 年 前
相关归档
我的脚本由一些移动运营商内联 - 如何处理? 15
Angular 给出“拒绝执行内联事件处理程序”错误 15
在外部JavaScript文件中插入动态值的安全方法 10
WordPress + Disqus +拒绝执行内联脚本 10
如何将内容安全策略与本地主机文件一起使用 7
React 应用程序中的内容安全策略没有阻止在线脚本 7
拒绝框架 '',因为它违反了以下内容安全性(空框架 URL) 6
使用 attr 设置与 CSP 一起使用的 css 变量内联 5
由于Content-Security-Policy,拒绝执行内联事件处理程序 4
Firebase标头CSP规则 4
难疑归档
如何在提交前撤消'git add'? 8567
C#中字符串和字符串有什么区别? 6250
如何有效地迭代Java Map中的每个条目? 3113
403 Forbidden vs 401 Unauthorized HTTP响应 2544
在终端上打印颜色? 1929
JavaScript检查变量是否存在(定义/初始化) 1642
在Mac上查找(并终止)进程锁定端口3000 1595
<button>与<input type ="button"/>.哪个用? 1588
使用JavaScript/jQuery滚动到页面顶部? 1511
按属性排序自定义对象的ArrayList 1093