为什么我的CSP策略阻止了eval函数,但移除unsafe-eval又报错?
我在开发动态表单组件时用到了eval执行表达式,CSP报错提示缺少unsafe-eval。尝试在header里加了script-src 'self' 'unsafe-eval',但控制台还是显示:
Content-Security-Policy: script-src 'self' 'unsafe-eval'更奇怪的是,如果完全移除unsafe-eval,页面直接崩溃报Uncaught DOMException: Blocked a frame with origin from evaluating a string as JavaScript because the value of the keyword。我已经检查过第三方库没用eval,这是怎么回事?
- 2
回答
30浏览
CSP策略配置后为什么还是被绕过执行了内联脚本?
在做渗透测试时,给网站加了CSP策略禁止内联脚本,但测试人员用base64编码的dataURI依然能执行恶意脚本,这是怎么回事? 我的CSP配置是这样的:Content-Security-Policy...
- 2
回答
35浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
- 1
回答
50浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
- 2
回答
24浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
- 2
回答
59浏览
CSP报显示图片源被阻止但已配置’srcset’还是不行怎么办?
我在开发环境设置了CSP头,但控制台一直报标签的图片被阻止,明明已经在'srcset'里写了self和具体域名,怎么还是不行? 配置是这样的:Content-Security-Policy: img-...
- 2
回答
29浏览
CSP设置后图片资源被阻止,如何排查?
最近给项目加CSP头时发现图片加载失败,控制台提示"Blocked ... source of 'http://...' isn't listed"。我试过在标签用nonce和在CSP头添加,但问题依...
- 2
回答
39浏览
设置了font-src还是报字体加载被CSP阻止,哪里配置错了?
我在页面里用@font-face引入了自定义字体,同时设置了CSP头"font-src 'self';"。但控制台还是报错: Refused to load the font 'data:applic...
- 1
回答
23浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
- 2
回答
26浏览
React里用了report-to但CSP报告没收到怎么办?
在React项目里配置了CSP的report-to指令,但一直没收到违规报告,是不是哪里写错了? 我按照文档设置了meta标签,还用.env文件存了端点: // index.js document.a...
- 2
回答
93浏览
设置了CSP后图片无法加载,却显示’strict-dynamic’相关错误?
我在给项目配置CSP时遇到了奇怪的问题。设置了后页面报错: <!DOCTYPE html> <html> <head> <meta http-equiv="C...
Content-Security-Policy,并且确认没有 meta 标签或其他中间件注入了更严格的策略。用这个完整 header 测试:
同时确保浏览器没缓存旧策略,清缓存后重试。但强烈建议替换 eval,用 Function 构造函数或 JS 表达式解析器(比如 mathjs)更安全。