内容安全政策问题
Content-Security-Policy issue
我在我的 htaccess 中使用了下面的代码,但由于某种原因,我在控制台中收到一条错误消息。知道问题出在哪里吗?
谢谢,
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
您的页面上有一个内联脚本,例如:
<script>
...
</script>
这要么直接在您的 HTML 中,要么在使用的组件中(例如,您拉入页面的 Facebook 小部件添加了这个)或者可能在您的浏览器使用的浏览器扩展中。
您可以通过将不安全内联添加到您的配置中来允许此在线脚本,如下所示:
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
然而,这会破坏内容安全策略 (CSP) 的大部分保护,该策略专门用于防止流氓脚本 运行 为您的网站防止跨站点脚本 (XSS) 等安全问题。
我建议您在实施 CSP 之前阅读更多有关 CSP 的内容。可以在这里推荐我自己的博客 post 作为入门者:https://www.tunetheweb.com/security/http-security-headers/csp/
我在我的 htaccess 中使用了下面的代码,但由于某种原因,我在控制台中收到一条错误消息。知道问题出在哪里吗?
谢谢,
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
您的页面上有一个内联脚本,例如:
<script>
...
</script>
这要么直接在您的 HTML 中,要么在使用的组件中(例如,您拉入页面的 Facebook 小部件添加了这个)或者可能在您的浏览器使用的浏览器扩展中。
您可以通过将不安全内联添加到您的配置中来允许此在线脚本,如下所示:
<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'unsafe-inline' 'self' https://maxcdn.bootstrapcdn.com/ https://oss.maxcdn.com/ https://cdnjs.cloudflare.com https://ajax.googleapis.com https://maps.googleapis.com https://fonts.googleapis.com/ https://www.facebook.com/ https://www.facebook.net/ https://connect.facebook.net https://connect.facebook.com"
</IfModule>
然而,这会破坏内容安全策略 (CSP) 的大部分保护,该策略专门用于防止流氓脚本 运行 为您的网站防止跨站点脚本 (XSS) 等安全问题。
我建议您在实施 CSP 之前阅读更多有关 CSP 的内容。可以在这里推荐我自己的博客 post 作为入门者:https://www.tunetheweb.com/security/http-security-headers/csp/