构建到生产后的内容安全策略指令

亨茨·拉赫玛迪

我正在使用vue2与websocket一起使用,它在我将服务器移到新服务器之前正常工作,我的项目拒绝与通道进行握手

复制链接

https://realsportindo.com/event/kejuaraan-kata-virtual-forki-jabar-2020/medals

您可以看到webscoket的日志被阻止

Refused to connect to 'wss://example.com/socket//websocket?vsn=1.0.0' because it violates the following Content Security Policy directive: "default-src 'self' http: https: data: blob: 'unsafe-inline'". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.

它不会在生产时发生,只有在构建并部署到生产后才会发生

赠款

错误信息:

因为它违反了以下内容安全策略指令:“ default-src'self'http:https:data:blob:'unsafe-inline'”。
请注意,未明确设置'connect-src',因此'default-src'被用作后备。

说代理的内容安全策略不包含connect-src指令,但是您在HTML代码中的元标记确实包含该指令:
<meta http-equiv=Content-Security-Policy content="default-src 'self' https: http: ws: wss: 'unsafe-eval' 'unsafe-inline'; img-src 'self' data: http: https:; connect-src ws: wss: https: http:">

这意味着您发布了2个CSP:

  • 一种是通过HTML代码中的元标记
  • 第二种是通过服务器发送的HTTP标头,您可以在Dev Tool中看到它:

通过HTTP标头进行CSP

由于您有2种不同的内容安全策略,因此所有来源都应通过这两个策略不受限制地传递但是第二个不允许wss:因此锁定它。

您需要以一种方式交付CSP:元标记或HTTP标头。

顺便说一句:您的CSP规则是如此开放,以至您甚至都不需要CSP-它没有任何限制。

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类常见问题

拒绝加载脚本,因为它违反了以下“内容安全策略”指令

来自分类Dev

拒绝应用内联样式,因为它违反了以下内容安全策略指令

来自分类Dev

内容安全策略春季安全

来自分类Dev

内容安全策略+框架祖先

来自分类Dev

升级ember-cli 0.0.47后违反内容安全策略指令

来自分类Dev

内容安全策略指令:“ script-src'self''unsafe-eval'”

来自分类Dev

访问发布到ASP.Net的访问内容安全策略违规报告

来自分类Dev

内容安全策略对象SRC Blob

来自分类Dev

如何实施内容安全策略?

来自分类Dev

自身子域的内容安全策略

来自分类Dev

什么是最大允许的内容安全策略?

来自分类Dev

与Jekyll实施内容安全策略

来自分类Dev

如何“避免”内容安全策略?

来自分类Dev

拒绝框架“”,因为它违反了以下“内容安全策略”指令

来自分类Dev

SignalR拒绝连接到[url],因为它违反了以下内容安全策略指令

来自分类Dev

违反以下“内容安全策略”指令:Shopify中的***

来自分类Dev

拒绝连接到x,因为它违反了以下内容安全策略指令(connect-src)

来自分类Dev

拒绝执行内联脚本,因为它违反了以下“内容安全策略”指令:“ script-src'self'”。

来自分类Dev

拒绝加载图像,因为它违反了以下内容安全策略指令:“ default-src'none'”

来自分类Dev

Cordova Angular webView错误拒绝应用内联样式,因为它违反了以下“内容安全策略”指令

来自分类Dev

Chrome扩展程序内容安全策略指令错误

来自分类Dev

内容安全策略+框架祖先

来自分类Dev

XSS和内容安全策略

来自分类Dev

内容安全策略停用

来自分类Dev

内容安全策略:源数据

来自分类Dev

内容安全策略警告

来自分类Dev

Safari 内容安全策略支持

来自分类Dev

在 PhantomJS 中禁用内容安全策略

来自分类Dev

Symfony 3 - 内容安全策略

Related 相关文章

  1. 1

    拒绝加载脚本,因为它违反了以下“内容安全策略”指令

  2. 2

    拒绝应用内联样式,因为它违反了以下内容安全策略指令

  3. 3

    内容安全策略春季安全

  4. 4

    内容安全策略+框架祖先

  5. 5

    升级ember-cli 0.0.47后违反内容安全策略指令

  6. 6

    内容安全策略指令:“ script-src'self''unsafe-eval'”

  7. 7

    访问发布到ASP.Net的访问内容安全策略违规报告

  8. 8

    内容安全策略对象SRC Blob

  9. 9

    如何实施内容安全策略?

  10. 10

    自身子域的内容安全策略

  11. 11

    什么是最大允许的内容安全策略?

  12. 12

    与Jekyll实施内容安全策略

  13. 13

    如何“避免”内容安全策略?

  14. 14

    拒绝框架“”,因为它违反了以下“内容安全策略”指令

  15. 15

    SignalR拒绝连接到[url],因为它违反了以下内容安全策略指令

  16. 16

    违反以下“内容安全策略”指令:Shopify中的***

  17. 17

    拒绝连接到x,因为它违反了以下内容安全策略指令(connect-src)

  18. 18

    拒绝执行内联脚本,因为它违反了以下“内容安全策略”指令:“ script-src'self'”。

  19. 19

    拒绝加载图像,因为它违反了以下内容安全策略指令:“ default-src'none'”

  20. 20

    Cordova Angular webView错误拒绝应用内联样式,因为它违反了以下“内容安全策略”指令

  21. 21

    Chrome扩展程序内容安全策略指令错误

  22. 22

    内容安全策略+框架祖先

  23. 23

    XSS和内容安全策略

  24. 24

    内容安全策略停用

  25. 25

    内容安全策略:源数据

  26. 26

    内容安全策略警告

  27. 27

    Safari 内容安全策略支持

  28. 28

    在 PhantomJS 中禁用内容安全策略

  29. 29

    Symfony 3 - 内容安全策略

热门标签

归档