검색
검색

콘텐츠 보안 정책에서보다 구체적인 값이 일반 값을 완전히 대체합니까?

debugcn 에 게시 Dev
2
성 조지

developer.mozilla.org에있는 아주 좋은 것을 포함하여 여러 CSP 참조를 살펴 봤지만 이에 대한 답을 찾을 수 없습니다. self 및 * .facebook.com의 모든 것을 허용하고 다음의 스크립트 만 허용한다고 가정합니다. * .googleapis.com. script-src에서 self와 * .facebook.com을 반복해야합니까?

즉,이 정도면 충분합니까?

Content-Security-Policy default-src 'self' *.facebook.com; script-src *.googleapis.com;

또는 다음을 지정해야합니까?

Content-Security-Policy default-src 'self' *.facebook.com; script-src 'self' *.facebook.com *.googleapis.com;
보조금

두 번째 변형이 정확합니다.

Content-Security-Policy
   default-src 'self' *.facebook.com;
   script-src 'self' *.facebook.com *.googleapis.com;

script-src정책 에서 지시문을 지정하면 브라우저는 default-src스크립트에 대한 소스를 전혀 사용 하지 않습니다 (로 폴백을 수행하지 않음 default-src). 의 출처 만 script-src사용됩니다.

따라서 앱이 'self'*.facebook.com에서 스크립트를로드하는 경우 콘텐츠 script-src별도로 이를 지정해야 default-src합니다.

이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.

침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제

에서 수정
0

몇 마디 만하겠습니다

0리뷰
로그인참여 후 검토

관련 기사

분류에서Dev

Cordova Angular webView 오류 다음 콘텐츠 보안 정책 지침을 위반하여 인라인 스타일 적용이 거부되었습니다.

분류에서Dev

OnClick이 콘텐츠 보안 정책을 위반

분류에서Dev

다음 콘텐츠 보안 정책을 위반하여 'blob : ...'이미지로드를 거부했습니다.

분류에서Dev

''프레임이 다음 콘텐츠 보안 정책 지침을 위반하여 거부되었습니다.

분류에서Dev

배열은 여러 위치에서 첫 번째 LatLng 데이터 만 검색하고 동일한 값을 정보창의 콘텐츠에 전달합니다.

분류에서Dev

다음 콘텐츠 보안 정책을 위반하여 인라인 스타일 적용을 거부했습니다. 'style-src'self 'https://apis.google.com.

분류에서Dev

Jasper 보고서의 셀 값 (콘텐츠)을 기반으로 한 동적 정렬

분류에서Dev

SignalR이 다음 콘텐츠 보안 정책 지침을 위반하여 [url]에 연결하는 것을 거부했습니다.

분류에서Dev

Materialise 양식을 사용하는 Google App Script에서 '상위가 다음 콘텐츠 보안 정책 지침을 위반 함 :'프레임 상위 '자체' '오류를 반환합니다.

분류에서Dev

Google Chromecast에서 콘텐츠 전송 : 구체적이고 완전한 예

분류에서Dev

전체 콘텐츠에서 파일을 검색하기위한 대체 도구는 무엇입니까?

분류에서Dev

콘텐츠 보안 정책 : 페이지의 설정이 인라인에서 리소스로드를 차단했습니다 ( "default-src").

분류에서Dev

다음 콘텐츠 보안 정책 지시문 "script-src 'self'"를 위반하여 인라인 스크립트 실행을 거부했습니다.?

분류에서Dev

다음 콘텐츠 보안 정책 지침을 위반하여 이미지로드를 거부했습니다. "default-src 'none'"

분류에서Dev

콘텐츠 보안 정책은 v-html에서 XSS 공격을 거부합니다.

분류에서Dev

콘텐츠 보안 정책을 위반하여로드가 거부되었습니다.

분류에서Dev

단일 페이지 앱에서도 Ajax 응답에 콘텐츠 보안 정책 헤더를 설정해야합니까?

분류에서Dev

Java에서보다 구체적인 double 값을 반환하는 방법

분류에서Dev

옵션 페이지에서 콘텐츠 스크립트로 chrome.storage에 설정된 값을 보냅니다.

분류에서Dev

React 앱의 콘텐츠 보안 정책이 온라인 스크립트를 차단하지 않았습니다.

분류에서Dev

Nginx 콘텐츠 보안 정책이 승인되지 않음

분류에서Dev

BeautifulSoup으로 두 태그 사이에 완전히 가변적 인 콘텐츠를 긁어 내시겠습니까?

분류에서Dev

다음 콘텐츠 보안 정책 지침 (connect-src)을 위반하여 x에 대한 연결을 거부했습니다.

분류에서Dev

안전하지 않은 인라인이없는 콘텐츠 보안 정책 및 Google Analytics?

분류에서Dev

페이지에서 텍스트의 일부 콘텐츠를 찾은 다음 Selenium을 사용하여 Python에서 해당 <div>의 전체 콘텐츠를 반환합니다.

분류에서Dev

KendoUI MVC에서 콘텐츠 보안 정책을 사용하려면 어떻게해야합니까?

분류에서Dev

(CSP) 콘텐츠 보안 정책. 외부 liblary에서 추가 된 인라인 스타일을 처리하는 방법

분류에서Dev

Jenkins에서 합격 / 불합격 작업을 기반으로 이메일 콘텐츠를 보내는 방법

분류에서Dev

반복되는 패턴이지만 다른 콘텐츠로 Discord 임베딩을보다 최적으로 전송

Related 관련 기사

  1. 1

    Cordova Angular webView 오류 다음 콘텐츠 보안 정책 지침을 위반하여 인라인 스타일 적용이 거부되었습니다.

  2. 2

    OnClick이 콘텐츠 보안 정책을 위반

  3. 3

    다음 콘텐츠 보안 정책을 위반하여 'blob : ...'이미지로드를 거부했습니다.

  4. 4

    ''프레임이 다음 콘텐츠 보안 정책 지침을 위반하여 거부되었습니다.

  5. 5

    배열은 여러 위치에서 첫 번째 LatLng 데이터 만 검색하고 동일한 값을 정보창의 콘텐츠에 전달합니다.

  6. 6

    다음 콘텐츠 보안 정책을 위반하여 인라인 스타일 적용을 거부했습니다. 'style-src'self 'https://apis.google.com.

  7. 7

    Jasper 보고서의 셀 값 (콘텐츠)을 기반으로 한 동적 정렬

  8. 8

    SignalR이 다음 콘텐츠 보안 정책 지침을 위반하여 [url]에 연결하는 것을 거부했습니다.

  9. 9

    Materialise 양식을 사용하는 Google App Script에서 '상위가 다음 콘텐츠 보안 정책 지침을 위반 함 :'프레임 상위 '자체' '오류를 반환합니다.

  10. 10

    Google Chromecast에서 콘텐츠 전송 : 구체적이고 완전한 예

  11. 11

    전체 콘텐츠에서 파일을 검색하기위한 대체 도구는 무엇입니까?

  12. 12

    콘텐츠 보안 정책 : 페이지의 설정이 인라인에서 리소스로드를 차단했습니다 ( "default-src").

  13. 13

    다음 콘텐츠 보안 정책 지시문 "script-src 'self'"를 위반하여 인라인 스크립트 실행을 거부했습니다.?

  14. 14

    다음 콘텐츠 보안 정책 지침을 위반하여 이미지로드를 거부했습니다. "default-src 'none'"

  15. 15

    콘텐츠 보안 정책은 v-html에서 XSS 공격을 거부합니다.

  16. 16

    콘텐츠 보안 정책을 위반하여로드가 거부되었습니다.

  17. 17

    단일 페이지 앱에서도 Ajax 응답에 콘텐츠 보안 정책 헤더를 설정해야합니까?

  18. 18

    Java에서보다 구체적인 double 값을 반환하는 방법

  19. 19

    옵션 페이지에서 콘텐츠 스크립트로 chrome.storage에 설정된 값을 보냅니다.

  20. 20

    React 앱의 콘텐츠 보안 정책이 온라인 스크립트를 차단하지 않았습니다.

  21. 21

    Nginx 콘텐츠 보안 정책이 승인되지 않음

  22. 22

    BeautifulSoup으로 두 태그 사이에 완전히 가변적 인 콘텐츠를 긁어 내시겠습니까?

  23. 23

    다음 콘텐츠 보안 정책 지침 (connect-src)을 위반하여 x에 대한 연결을 거부했습니다.

  24. 24

    안전하지 않은 인라인이없는 콘텐츠 보안 정책 및 Google Analytics?

  25. 25

    페이지에서 텍스트의 일부 콘텐츠를 찾은 다음 Selenium을 사용하여 Python에서 해당 <div>의 전체 콘텐츠를 반환합니다.

  26. 26

    KendoUI MVC에서 콘텐츠 보안 정책을 사용하려면 어떻게해야합니까?

  27. 27

    (CSP) 콘텐츠 보안 정책. 외부 liblary에서 추가 된 인라인 스타일을 처리하는 방법

  28. 28

    Jenkins에서 합격 / 불합격 작업을 기반으로 이메일 콘텐츠를 보내는 방법

  29. 29

    반복되는 패턴이지만 다른 콘텐츠로 Discord 임베딩을보다 최적으로 전송

뜨겁다태그

보관