问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

内容安全策略:页面的设置阻止了资源的加载

社区维基
1
新手上路,请多包涵

我在页面加载时使用 CAPTCHA ,但由于某些安全原因它被阻止。

我面临这个问题:


内容安全策略:页面设置阻止加载
的资源在
http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit
 (“script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'”)。

我使用了以下 JavaScript 和元标记:

 <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'">
 <script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>

原文由 Shakti Sharma 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javascriptjquerycontent-security-policy
阅读 1.3k
2 个回答
得票最新
社区维基
1
✓ 已被采纳

您说过您只能从您自己的站点(自己)加载脚本。然后,您尝试从另一个站点 ( www.google.com ) 加载脚本,并且由于您对此进行了限制,因此您不能。这就是 内容安全策略(CSP) 的全部意义所在。

您可以将第一行更改为:

 <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://www.google.com">

或者,在您了解有关 CSP 的更多信息之前,可能值得完全删除该行。无论如何,您当前的 CSP 非常宽松(允许 unsafe-inlineunsafe-eval*default-src ),所以说实话,它可能不会增加太多价值。

原文由 Barry Pollard 发布,翻译遵循 CC BY-SA 4.0 许可协议

社区维基
1

您可以通过在 htaccess 中添加代码来修复

<IfModule mod_headers.c>
 # Feature-Policy
 Header set Feature-Policy "microphone 'none'"
 # Referrer-Policy
 Header set Referrer-Policy "same-origin"
 # Content-Security-Policy
 Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' eg https://ajax.googleapis.com https://ssif1.globalsign.com https://malsup.github.io https://seal.globalsign.com https://www.googletagmanager.com https://www.google.com https://www.gstatic.com https://assets.zendesk.com https://chimpstatic.com https://cdn.ywxi.net https://static.hotjar.com https://maxcdn.bootstrapcdn.com https://www.google-analytics.com https://static.zdassets.com https://connect.facebook.net https://script.hotjar.com https://*.livechatinc.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://cdnjs.cloudflare.com https://ajax.googleapis.com;"
 # X-XSS-Protection
 Header set X-XSS-Protection "1; mode=block"
 </IfModule>

原文由 user3778512 发布,翻译遵循 CC BY-SA 4.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题