允许所有内容安全策略？

Question

新手上路，请多包涵

是否可以将 Content-Security-Policy 配置为完全不阻止任何内容？我正在上一门计算机安全课程，我们的网络黑客项目在较新版本的 Chrome 上遇到了问题，因为没有任何 CSP 标头，它会自动阻止某些 XSS 攻击。

原文由 joshlf 发布，翻译遵循 CC BY-SA 4.0 许可协议

javascript web http-headers xss content-security-policy

阅读 604

1 个回答

得票最新

社区维基

1

发布于
2022-12-06

对于仍然想要更宽松的帖子的人，因为其他答案不够宽松，他们必须使用谷歌浏览器 * 是不够的：

 default-src *  data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
frame-ancestors * data: blob: 'unsafe-inline';

原文由 Rainb 发布，翻译遵循 CC BY-SA 4.0 许可协议

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

Stack Overflow 翻译

子站问答

访问

本篇内容翻译自 Stack Overflow，如果你觉得翻译结果值得改进，欢迎直接编辑修改，感谢你为社区贡献。

相似问题

找不到问题？创建新问题

允许所有内容安全策略？

你尚未登录，登录后可以

js 如何将Key属性相同的放在同一个数组？

Next.js做纯前端是否可行？

如何实现一个深拷贝函数？

怎么获取动态弹出对话框的模拟单击？

git提交记录问题？

为什么在 JavaScript 中直接调用和用逻辑与调用方法结果不同？

什么是闭包？闭包有哪些应用场景？

Stack Overflow 翻译