大家好。我一直在为一个坚持使用特别严格配置的客户重建 CSP。:data并且unsafe-inline必须排除,我的开发人员告诉我,无法为被阻止的脚本生成随机数或哈希值。因此,我只能尝试从主 CSP 中排除特定目录。 到目前为止,我已经尝试采用 2017 年的覆盖设置: 覆盖特定位置的 CSP 标头 当这不起作用时,我尝试了嵌套的位置块,如下所示: Nginx 位置排除特定文件夹 不幸的是,这两种方法都没有奏效。 我已成功将$cspheader配置移至地图区域,如初始示例中所建议的那样。我知道,最严格的 CSP 最终将默认应用于具有两个 CSP 的目录,而无...
我目前正在尝试将外部插件加载到部署在 IIS 上的应用程序中。 我收到此错误: 拒绝加载脚本“https://cdn.babylonjs.com/loaders/babylon.glTFFileLoader.js”,因为它违反了以下内容安全策略指令:“script-src‘self’‘unsafe-eval’‘nonce-DAIQxlrJrGSnAtLW’”。请注意,“script-src-elem”未明确设置,因此“script-src”用作后备。 如何在 IIS 上编辑网站的 CSP 以仅允许加载该脚本? 以下是我在网站的 web.config 文件中...
我有 Apache 2.4,并且在 httpd-vhosts.conf 文件中配置了以下站点: <VirtualHost *:80 *:8080 *:8084> DocumentRoot "c:\apache_php\sites\public" ServerName www.mydomain.com </VirtualHost> <VirtualHost *:80 *:8080 *:8081> DocumentRoot "c:\apache_php\sites\shared" Serve...
我需要设置Content-Security-Policy标头以允许从任何 HTTPS 源加载脚本。当我将以下行添加到我的nginx配置中时,网站的外观和感觉会中断。我遗漏了什么? add_header Content-Security-Policy "default-src https:"; 我也尝试过*在末尾添加一个https,但是效果不太好, add_header Content-Security-Policy "default-src https:*"; ...
.png)
我正在尝试在 nginx 中创建一个强大且安全的内容安全策略,运行基于 wordpress 的 LEMP 服务器。我相信我正在使用 ngx_pagespeed.so 模块,并在我的服务器上实现了 FastCGI。我相信其中一个功能会动态地将我的 jpeg 图像渲染为 webP 图像。 在我的 Nginx 上的 content-security-policy 指令中,我试图消除 XSS 攻击,同时仍然使用由 pagespeed 模块或 FastCGI 创建的 webP 图像。 但是,为了让 CSP 允许 webP 图像,我需要img-src 'self' da...
是否有人知道是否可以创建一个组织策略,以防止在 GCP 中的防火墙规则中将特定端口的源设置为“任何”? 例如,我想阻止用户创建使用“任何”作为 SSH、RDP、SQL 等端口源的防火墙规则。 ...
无论我如何表述这个问题,我都没有得到任何回应,所以我继续尝试。我觉得我一定错过了什么,但我一直在寻找。为什么它不明显?为什么得到答案这么难? 我们被告知,我们应该在网站上为内联脚本使用内容安全策略 (CSP) nonce。该 nonce 应该在服务器上针对每个请求随机生成,并由网站获取,然后通过脚本标记中的变量包含在内。这样,我们就可以防范黑客攻击。 很好,但我找不到办法做到这一点,并且仍然缓存网站!有办法吗?有人吗? 如果不是,为什么这些关于创建 CSP nonce 的文章中没有明确说明这一点?我们需要答案! 谢谢你让我发泄一下。但说真的,答案是什么? ...
我从未见过解决这一难题的好办法,我一直在四处寻找。看来,这是在使用 nonce 和缓存之间做出的选择,两者不可兼得。真是糟糕的选择! 我们被告知“unsafe-inline”在 CSP 中是一个非常糟糕的选择,而且我发现,缓存/nonce 问题似乎没有解决方案。 是否有任何解决方案?或者现在是否有一个解决方案,但只是一个严格保密的解决方案? ...
我们的服务器上使用 apache2,它采用 cloudflare(免费计划)。 我目前正在实施 googles recaptcha,这需要我对我们的 CSP 标头进行更改。我做了以下事情: 在 Apache 中更改 CSP 运行apachectl configtest-一切正常 重启 Apache 检查 CSP 是否正常工作且 recaptcha 是否已加载 -> 前 1-2 次页面访问确实有效,但随后我收到错误:Refused to load https://www.gstatic.com/recaptcha/releases/2Mfykwl2ml...
在 Apache 2.2 上,我即将设置 Content-Security-Policy,以允许来自某个特定域的浏览器将数据加载到来自某个虚拟主机的 iframe 中。 $ httpd -S VirtualHost configuration: Syntax OK $ httpd -S -v Server version: Apache/2.2.15 (Unix) 我相信这个指令应该可以解决问题: Header set Content-Security-Policy "default-src 'self'; frame-ancestors *.reques...
当我的网站通过特定 IP 地址访问时,如何取消设置单个/多个 HTTP 标头?因为我的 CSP 配置阻止某些本地页面正确加载。例如,如果我有 phpMyAdmin,但由于设置了 CSP,我无法在本地使用它。 ...
我正在运行 NGINX 作为反向代理,并且已经设置了 Content-Security-Policy 标头,但在使用某些指令时遇到了问题。 我在控制台中收到以下错误: 无法识别的 Content-Security-Policy 指令“disown-opener”。无法识别的 Content-Security-Policy 指令“reflected-xss”。 它们的设置方式如下: 放弃开启器;反射式 xss 阻止; 我能找到的所有内容都是几年前的了,并没有提供太多的信息,它们仍然有效吗,还是我应该把它们扔掉? ...
我在用着nginx 的expires指令; 它是etag指示以及Last-Modified标题(如果我理解正确的话)默认处于开启状态。 为了在使用限制性内容安全策略 (CSP)标题(即没有'unsafe-inline'资源策略)我想使用随机数。 我基本上遵循了Scott Helme 就此事撰写的文章,在我的试用版中使用 nginx$request_id创建nonce 就像在 ServerFault 上讨论的那样(为了快速尝试这一点,而不必从头开始构建 nginx)。 然而,当我尝试这样做时,似乎缓存不再像我预期的那样工作: Nginx 每次都以文件、新鲜内容...
我有一个像这样的 nginx 服务器块,并且我试图使用指令proxy_hide_header来隐藏Content-Security-Policy来自代理服务器的响应标头,因为我没有在本地环境中运行 SSL 服务器,因此该标头导致的强制升级没有帮助。 server { include conf.d/environment.conf; listen 80; server_name ~^app.*\.acme\..*; location / { proxy_hide_header "Content-...
我有一个静态网站,托管在存储桶中,并通过 Google 平台提供服务。 该网站已经运行了大约 6 个月,没有出现任何问题,但在过去的一个月里,由于“内容安全”问题,我遇到了间歇性问题,无法加载样式表和脚本 - 这导致浏览器中只显示主页的文本,没有样式,也没有(基于 Javascript 的)功能。我所说的间歇性是指它运行几个小时后就无法正常工作,然后又有几个小时无法正常工作。 此服务没有“网络服务器”,因为我只是从存储桶中提供静态页面 - 我知道 Google 必须有自己的服务器来处理这个问题。 检查浏览器中的开发人员控制台,我可以看到网页使用...