内容安全策略停用

尝试一下

我开发了一个新网站。在chrome浏览器中,有一些关于“不安全内联”的例外。这是因为HTML中有内联javascript和内联样式。我将X-Content-Security-Policy / Content-Security-Policy设置为允许内联脚本等。但是对于内联脚本,其他定义起作用,如为img-src设置url,则没有任何效果。

<meta http-equiv="X-Content-Security-Policy" content="default-src *; script-src 'self' 'unsafe-inline';img-src 'self' https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com;child-src 'self'  https://connect.facebook.net https://www.facebook.com http://staticxx.facebook.com *.facebook.com;style-src 'self' 'unsafe-inline'">

我的问题是。有没有一种我可以允许的方式?为什么不安全的内联参数不起作用?我知道CSP可以提高安全性,但是我们有内联脚本/样式,这是购买的代码,因此我们无法更改它。为什么我的旧页面不会对此内容安全政策产生影响,而新页面会受到影响?我可以关闭整个CSP内容吗?

而且我发现有趣的是,模板很好,没有CSP的例外,但是当我在网页上使用模板时,例外就是例外。这个怎么可能?这可能是服务器配置吗?我使用Adobe CQ 6.1。

如果我不是公司网络中的CSP,我只会遇到问题。

尝试一下

问题解决了。必须在虚拟主机文件的服务器配置中添加meta标签,例如

#设置内容安全政策

标头设置了Content-Security-Policy“默认'self''unsafe-inline'”

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

内容安全策略警告

来自分类Dev

内容安全策略春季安全

来自分类Dev

如何实施内容安全策略?

来自分类Dev

内容安全策略对象SRC Blob

来自分类Dev

自身子域的内容安全策略

来自分类Dev

什么是最大允许的内容安全策略?

来自分类Dev

内容安全策略+框架祖先

来自分类Dev

与Jekyll实施内容安全策略

来自分类Dev

如何“避免”内容安全策略?

来自分类Dev

内容安全策略+框架祖先

来自分类Dev

XSS和内容安全策略

来自分类Dev

内容安全策略:源数据

来自分类Dev

Safari 内容安全策略支持

来自分类Dev

Symfony 3 - 内容安全策略

来自分类Dev

在 PhantomJS 中禁用内容安全策略

来自分类Dev

HTML标头内容安全策略未向文件报告

来自分类Dev

使Angular使用限制性内容安全策略(CSP)

来自分类常见问题

如何在Android WebView中禁用内容安全策略?

来自分类Dev

Internet Explorer的内容安全策略(CSP)解决方法

来自分类Dev

每个页面的内容安全策略(CSP)?

来自分类Dev

Google Adwords CSP(内容安全策略)img-src

来自分类Dev

Antisamy或内容安全策略,或同时用于防止XSS攻击

来自分类Dev

带有Paypal按钮的内容安全策略

来自分类Dev

chrome扩展程序的内容安全策略问题

来自分类Dev

Ionic和Socket.IO的内容安全策略

来自分类Dev

内容安全策略破坏console.log输出

来自分类Dev

Edge忽略内容安全策略中的script-src

来自分类Dev

如何使用元标记放宽内容安全策略

来自分类Dev

Safari中使用Braintree和Paypal的内容安全策略