安全头配置
本话题发布安全头配置相关的问答文章和技术分享,将持续更新,为您推荐了20篇问答,访问即可查看更多精彩内容。
-
1
回答
39浏览
X-Content-Type-Options 设置了 nosniff 为啥浏览器还是能加载 JS?
我在 Nginx 里加了 X-Content-Type-Options: nosniff,但发现有些 JS 文件 MIME 类型明明是 text/plain,浏览器居然还能执行,不是说 nosniff...
-
2
回答
59浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在尝试启用 COEP(Cross-Origin-Embedder-Policy: require-corp)来配合 SharedArrayBuffer 使用,但设置之后发现页面里的跨域图片全挂了,控...
-
1
回答
44浏览
Certificate Transparency 安全头怎么配才有效?
我在 Nginx 里尝试加上 Certificate Transparency 相关的响应头,但不确定到底该用哪个字段。查资料看到有 Expect-CT,但又听说它已经被废弃了? 我试着加了下面这段配...
-
2
回答
42浏览
Public-Key-Pins 头还能用吗?配置后浏览器报错怎么办?
我在项目里尝试加了个 Public-Key-Pins 安全头,结果 Chrome 直接报“HPKP is deprecated”错误,页面都加载不了了。查了下资料说这玩意儿已经被废弃了?那现在该用什么...
-
2
回答
18浏览
Access-Control-Allow-Origin 设置后还是跨域报错?
我在本地开发时请求后端接口,明明在响应头里加了 Access-Control-Allow-Origin: *,但浏览器还是报跨域错误,这是为啥? 后端是用 Node.js 写的,我试过在 Expres...
-
2
回答
29浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在 Vue 项目里加了安全头 Cross-Origin-Embedder-Policy: require-corp,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者 crossorigi...
-
1
回答
33浏览
X-Frame-Options 设置后为什么页面还是能被嵌入 iframe?
我最近在项目里加了 X-Frame-Options 响应头,设成了 DENY,但发现别人还是能用 iframe 把我的页面嵌进去,完全没生效。是我设置方式不对吗? 后端是用 Express 写的,代码...
-
2
回答
25浏览
X-Frame-Options 设置后为什么页面还是能被嵌入 iframe?
我在项目里加了 X-Frame-Options: DENY 响应头,但发现别人还是能用 iframe 把我的 React 页面嵌进去,完全没生效。是我配置错了吗? 后端是用 Nginx 配的 head...
-
2
回答
27浏览
Access-Control-Allow-Origin 设置了还是报跨域错误?
我在本地开发 React 应用时,调用公司内网的一个 API 接口,后端同事说已经加了 Access-Control-Allow-Origin: *,但我这边还是报跨域错误。我试过在 fetch 里加...
-
2
回答
37浏览
X-Frame-Options 设置后为什么页面还是能被嵌入 iframe?
我在项目里加了 X-Frame-Options: DENY 响应头,但本地开发时用 iframe 引入自己的页面居然还能加载出来,是不是我配错了? 后端是用 Express 写的,代码大概是这样: a...
-
2
回答
45浏览
Cross-Origin-Opener-Policy 设置后为什么页面打不开新窗口了?
我在 Vue 项目里加了 Cross-Origin-Opener-Policy: same-origin 安全头,结果用 window.open 打开新页面时直接被拦截了,控制台报错说“Blocked...
-
2
回答
70浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 这个安全头,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者使用 crossorigi...
-
2
回答
114浏览
设置了HSTS头但浏览器还是提示不安全,哪里出问题了?
我给项目加了Strict-Transport-Security头,代码是这样写的: app.use((req, res, next) => { res.setHeader('Stric...
-
2
回答
90浏览
设置了X-Content-Type-Options头为什么还是有类型嗅探提示?
我在Express服务器里设置了X-Content-Type-Options: nosniff,但访问静态文件时Chrome还是显示「启用内嵌 MIME 类型嗅探」的警告。用开发者工具检查响应头确实有...
-
2
回答
64浏览
Public-Key-Pins配置后浏览器报错,哪里出问题了?
我在本地测试环境配置了Public-Key-Pins头,但访问页面时Chrome直接显示证书错误,页面完全无法加载。之前已经按文档生成了证书的指纹,备用密钥也配置了,但还是报错: Public-Key...
-
2
回答
82浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止了怎么办?
我给服务器配置了cross-origin-resource-policy: same-site,但跨域加载图片时还是出现这个错误:Blocked by Cross-Origin Resource Po...
-
2
回答
75浏览
为什么设置了CORS头后图片还是被COP策略拦截?
我在开发时遇到了奇怪的问题,服务器设置了Access-Control-Allow-Origin: *,但页面加载外部图片时还是报错:"图片被Cross-Origin Resource Policy阻止...
-
2
回答
79浏览
Expect-CT头配置后为什么还是出现证书错误提示?
我在Vue项目里设置了Expect-CT头,但访问页面时还是弹出证书错误警告,搞不懂哪里出问题了。配置代码是这样写的: <nuxt> </nuxt> // 在nuxt.conf...
-
2
回答
98浏览
X-Frame-Options设置为SAMEORIGIN后页面仍被嵌入怎么办?
我在后端设置了X-Frame-Options为SAMEORIGIN,但发现页面还是能被其他域名iframe嵌入,这是为什么? 比如在Express里这样配置的: app.use((req, res, ...
-
2
回答
61浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止,哪里配置错了?
在React项目里用第三方图片地址,明明设置了CORS策略,但浏览器还是报跨域错误。我加了"Cross-Origin-Resource-Policy: cross-origin"头,但控制台还是提示:...
