Angular中的动态CSP(内容安全策略)connect-src

MoxxiManagarm

我在Angulars项目index.html文件的meta标签中定义了CSP

  <meta http-equiv="Content-Security-Policy"
        content="default-src 'self';
                 connect-src 'self' https://baseurl1/ https://baseurl2/ https://baseurl3/;
                 img-src 'self' data: http://baseurl/;
                 frame-src 'self' blob:;
                 media-src 'self' https://baseurl/;
                 script-src 'self' 'unsafe-inline' 'unsafe-eval' http://baseurl/;
                 style-src 'self' 'unsafe-inline';">

我的问题是,我想connect-src根据用户在应用程序中的选择,将白名单准确地再动态添加一个。既然index.html是静态页面,该怎么办

url是从http服务调用的,该服务可以到达标准服务器接口(不同的提供程序)。用户可以选择他的提供者,因此URL会更改。没有已知的可能网址集。如果我能以某种方式CSP忽略此服务发送的所有请求,那也很好。

阿拉巴卡什

您可以尝试使用Meta组件动态更新CSP。

就像下面这样可能会对您有所帮助。

import { Meta } from '@angular/platform-browser';

    let i  = 0;
    let tim = setInterval(() => {

        let tag = this.meta.getTag('http-equiv=Content-Security-Policy');

        if (tag) {

          this.meta.removeTag('http-equiv=Content-Security-Policy');
          let content = tag.getAttribute('content');
          let str = 'connect-src ';
          let index = content.indexOf(str);
          content = content.slice(0, index + str.length) + "https://baseurl22/ https://baseurl23/ https://baseurl34/ " + content.slice(index + str.length);
            this.meta.updateTag({ 'http-equiv': 'Content-Security-Policy', content: content });
        } else {

          this.meta.addTag({ 'http-equiv': 'Content-Security-Policy', content: 'connect-src \'self\' https://baseurl1/ https://baseurl2/ https://baseurl3/;' });
        }

        if (i == 1) clearInterval(tim);
        i++;
    }, 1000);

演示-https: //stackblitz.com/edit/angular-teecck

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

Google Adwords CSP(内容安全策略)img-src

来自分类Dev

Edge忽略内容安全策略中的script-src

来自分类Dev

内容安全策略对象SRC Blob

来自分类Dev

仅限Safari:拒绝连接到...,因为它未出现在内容安全策略的connect-src指令中

来自分类Dev

拒绝连接到x,因为它违反了以下内容安全策略指令(connect-src)

来自分类Dev

内容安全策略指令:“ script-src'self''unsafe-eval'”

来自分类Dev

内容安全策略:页面的设置阻止内联资源的加载(“ default-src”)

来自分类Dev

使Angular使用限制性内容安全策略(CSP)

来自分类Dev

拒绝执行内联脚本,因为它违反了以下“内容安全策略”指令:“ script-src'self'”。

来自分类Dev

拒绝加载图像,因为它违反了以下内容安全策略指令:“ default-src'none'”

来自分类Dev

在play 2.5中动态设置“内容安全策略”

来自分类Dev

拒绝加载脚本,因为它违反了以下内容安全策略指令:ChromeDriver Chrome和Selenium的script-src错误

来自分类Dev

Internet Explorer的内容安全策略(CSP)解决方法

来自分类Dev

每个页面的内容安全策略(CSP)?

来自分类Dev

标头CSP(内容安全策略)不正确

来自分类Dev

内容安全策略(CSP)阻止评估方法调用

来自分类Dev

使用内容安全策略 (CSP) 的真正意义是什么?

来自分类Dev

如何在yii2中添加用于Smartsupp聊天的内容安全策略(CSP)?

来自分类Dev

在 PhantomJS 中禁用内容安全策略

来自分类Dev

内容安全策略停用

来自分类Dev

内容安全策略警告

来自分类Dev

无法在 Angular4 中设置准确的内容安全策略

来自分类Dev

哪种CSP更安全-style-src'none'或style-src'unsafe-inline'

来自分类Dev

CSP style-src:“不安全内联”-值得吗?

来自分类常见问题

如何在Android WebView中禁用内容安全策略?

来自分类Dev

违反以下“内容安全策略”指令:Shopify中的***

来自分类Dev

Firebase内容安全策略清单中的更改

来自分类Dev

CSP内容安全策略-我们为什么不使用它?

来自分类Dev

(CSP)内容安全策略。处理从外部库添加的内联样式的方法

Related 相关文章

  1. 1

    Google Adwords CSP(内容安全策略)img-src

  2. 2

    Edge忽略内容安全策略中的script-src

  3. 3

    内容安全策略对象SRC Blob

  4. 4

    仅限Safari:拒绝连接到...,因为它未出现在内容安全策略的connect-src指令中

  5. 5

    拒绝连接到x,因为它违反了以下内容安全策略指令(connect-src)

  6. 6

    内容安全策略指令:“ script-src'self''unsafe-eval'”

  7. 7

    内容安全策略:页面的设置阻止内联资源的加载(“ default-src”)

  8. 8

    使Angular使用限制性内容安全策略(CSP)

  9. 9

    拒绝执行内联脚本,因为它违反了以下“内容安全策略”指令:“ script-src'self'”。

  10. 10

    拒绝加载图像,因为它违反了以下内容安全策略指令:“ default-src'none'”

  11. 11

    在play 2.5中动态设置“内容安全策略”

  12. 12

    拒绝加载脚本,因为它违反了以下内容安全策略指令:ChromeDriver Chrome和Selenium的script-src错误

  13. 13

    Internet Explorer的内容安全策略(CSP)解决方法

  14. 14

    每个页面的内容安全策略(CSP)?

  15. 15

    标头CSP(内容安全策略)不正确

  16. 16

    内容安全策略(CSP)阻止评估方法调用

  17. 17

    使用内容安全策略 (CSP) 的真正意义是什么?

  18. 18

    如何在yii2中添加用于Smartsupp聊天的内容安全策略(CSP)?

  19. 19

    在 PhantomJS 中禁用内容安全策略

  20. 20

    内容安全策略停用

  21. 21

    内容安全策略警告

  22. 22

    无法在 Angular4 中设置准确的内容安全策略

  23. 23

    哪种CSP更安全-style-src'none'或style-src'unsafe-inline'

  24. 24

    CSP style-src:“不安全内联”-值得吗?

  25. 25

    如何在Android WebView中禁用内容安全策略?

  26. 26

    违反以下“内容安全策略”指令:Shopify中的***

  27. 27

    Firebase内容安全策略清单中的更改

  28. 28

    CSP内容安全策略-我们为什么不使用它?

  29. 29

    (CSP)内容安全策略。处理从外部库添加的内联样式的方法

热门标签

归档