那些遇到过的问题

相关疑难解决方法(0)

内容安全政策:"img-src'自我'数据:"

我有一个应用程序,用户可以复制图像URL,将其粘贴到输入,图像将被加载到一个盒子上.

但我的应用程序,继续触发此消息:

Refused to load the image 'LOREM_IPSUM_URL' because it violates 
the following Content Security Policy directive: "img-src 'self' data:".
Run Code Online (Sandbox Code Playgroud)

这是我的元标记:

    <meta http-equiv="Content-Security-Policy" content="default-src *; 
img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' *; 
style-src  'self' 'unsafe-inline' *">
Run Code Online (Sandbox Code Playgroud)

我在应用程序中使用html2Canvas,当我删除它时:"img-src'seld'数据:"

它触发了这个错误:

html2canvas.js:3025 Refused to load the image 'data:image/svg+xml,
<svg xmlns='http://www.w3.org/2000/svg'></svg>' because it violates
the following Content Security Policy directive: "default-src *". 
Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.
Run Code Online (Sandbox Code Playgroud)

除了一堆其他错误......

html canvas content-security-policy ionic-framework

Raf*_*tro
lucky-day
27
推荐指数
3
解决办法
5万
查看次数

什么是最大允许的内容安全策略?

我有一个庞大的遗留代码库,我想引入Content-Security-Policy标题.在短期内真正锁定网站是不可行的(例如,整个地方都有没有自动化测试覆盖的内联脚本),但至少我可以开始禁止访问我知道的内容源当然,目前还没有使用,然后随着时间的推移慢慢减速.

不幸的是,未使用的源列表相当短.这是我第一次尝试Content-Security-Policy价值:

default-src * 'unsafe-eval' 'unsafe-inline'
Run Code Online (Sandbox Code Playgroud)

这破坏了许多事情,例如使用data:scheme获取的图像.环顾四周,我看到了许多您可能想要包含的内容,例如connect-src ws:,未在文档中明确指出的内容.

什么是最大允许Content-Security-Policy标头值,基本上允许网站执行浏览器默认允许执行的所有操作?问另一种方式:我可以介绍什么标题值,绝对不会破坏网站上的任何东西?

如果我可以从我知道不会破坏任何东西的东西开始,然后减去我知道可以安全删除的权限,我会觉得将标题引入遗留站点更为舒服.

content-security-policy

Mic*_*pat
2017 05-23
4
推荐指数
2
解决办法
2013
查看次数

本地jquery.js文件导致内容安全策略(CSP)冲突错误

我在本地有以下js文件; 

<script type="text/javascript" src="js/jquery-1.11.1.min.js"></script>
Run Code Online (Sandbox Code Playgroud)

在Ripple中运行我的Cordova Phonegap应用程序会引发以下错误; 

jquery.mobile-1.4.5.min.js:3 Refused to load the image 'data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///ywAAAAAAQABAAACAUwAOw==' because it violates the following Content Security Policy directive: "default-src * 'unsafe-eval' 'unsafe-inline'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.
Run Code Online (Sandbox Code Playgroud)

我在html中有以下元数据; 

<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-eval' 'unsafe-inline'">
Run Code Online (Sandbox Code Playgroud)

如何防止(CSP)违规错误被抛出?任何修复?

编辑:将ajax.googleapis url添加到meta有助于删除大多数CSP错误;

 <meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-eval' https://ajax.googleapis.com/ 'unsafe-inline'">
Run Code Online (Sandbox Code Playgroud)

但我仍然有一些像以下一样; 

Refused to load the font 'data:font/woff;base64,d09GRgABAAAAAI3gABIAAAABRWQAAQABAAAAAAAAAAAAAAAAAAAAA…IwnaGGIYHBlUELLMKwH6htK8MUhmKGIAYjqCImVEUgs1mBOtm1gRYpuNZmSrgAALqcEVgAAAA=' because it violates the following Content Security Policy directive: "default-src * 'unsafe-eval' https://ajax.googleapis.com/ 'unsafe-inline'". Note …
Run Code Online (Sandbox Code Playgroud)

javascript jquery cordova content-security-policy

sha*_*yte
2016 05-17
1
推荐指数
1
解决办法
3031
查看次数

标签 统计

content-security-policy ×3

canvas ×1

cordova ×1

html ×1

ionic-framework ×1

javascript ×1

jquery ×1