前端请求加了 Nonce 为啥还是被拦截?
我在做 CSP 安全策略,给每个 fetch 请求加了 Nonce,但浏览器还是报“Refused to execute inline script”错误,根本没走到请求那步。是不是我理解错了 Nonce 的用法?
我试过在 meta 标签里加 nonce,也在请求头里带了,但好像都不对。下面是我现在发请求的代码:
const nonce = 'a1b2c3d4'; // 从后端拿到的真实 nonce
fetch('/api/data', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'X-Nonce': nonce
},
body: JSON.stringify({ action: 'load' })
});这写法有问题吗?Nonce 不是应该这样传的?
- 2
回答
49浏览
动态添加的script标签nonce无效怎么办?
在单页应用里用createElement动态插入script标签,设置了nonce属性,但是控制台还是报"Refused to execute inline event handler because...
- 1
回答
55浏览
React组件内联样式Nonce验证一直报CSP错误怎么办?
在React项目里用Content-Security-Policy配置了nonce验证,但动态生成的nonce在组件内联样式里老是触发CSP错误,怎么办啊? 我按照文档在服务端设置了nonce头,然后...
- 1
回答
5浏览
请求头验证 CSRF 为啥还是被拦截了?
我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest,后端也配置了校验这个头,但还是被 CSRF 防护拦住了,到底是哪出问题了? 我试过在...
- 1
回答
40浏览
前端怎么防止接口请求被重放攻击?
最近在做支付相关的功能,后端要求每个请求都要防重放,但我作为前端不太清楚该怎么配合。我试过加时间戳,但好像还是能被截获重放。 现在用的是 Vue3 + Axios,下面是我目前的请求封装,是不是缺了什...
- 2
回答
28浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
26浏览
请求头验证 CSRF 为什么还是被拦截了?
我在前端用 fetch 发请求时加了自定义请求头 X-Requested-With: XMLHttpRequest,后端也配置了验证这个头,但 CSRF 攻击测试时还是被拦截了,这是为啥? 我试过在登...
- 1
回答
57浏览
IP白名单配置后请求仍被拦截,是什么原因?
最近在给支付接口配置IP白名单时遇到问题,明明把测试服务器IP加进去了,但前端发起请求还是被返回403。检查过防火墙规则没问题,白名单代码也按文档写了,但就是通不过验证。测试用的是本地开发环境,可能跟...
- 2
回答
59浏览
为什么设置了Access-Control-Allow-Methods后OPTIONS请求还是被拦截?
我在前端用fetch发POST请求时,明明在服务器设置了"Access-Control-Allow-Methods: POST",但浏览器还是报错说方法不允许。预检OPTIONS请求返回405状态码,...
- 2
回答
33浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
- 1
回答
6浏览
Access-Control-Allow-Methods 设置后为什么 OPTIONS 请求还是失败?
我在前端用 fetch 发了个 POST 请求到后端接口,但浏览器先发了个 OPTIONS 预检请求,结果返回 405。后端明明在响应头里加了 Access-Control-Allow-Methods...
CSP的Nonce是这么用的:
1. 首先服务器生成一个随机Nonce(比如'a1b2c3d4')
2. 把这个Nonce放到CSP头里:script-src 'nonce-a1b2c3d4'
3. 然后在页面的
血泪教训啊!我当时也以为Nonce是给API请求用的,结果完全跑偏了。你遇到的"Refused to execute inline script"就是因为内联脚本没加nonce属性,跟fetch请求半毛钱关系都没有。
如果非要保护API请求,应该用CSRF Token而不是Nonce。Nonce是专门解决CSP内联脚本执行问题的,两个完全是不同的安全机制。
顺便说下,现在很多项目都用webpack打包了,压根不需要内联脚本,直接用hash白名单更安全:
script-src 'sha256-xxxx
你发的这个 fetch 请求是网络请求,不是内联脚本,浏览器根本不看这个头;
真正该做的是:后端在 CSP 头里写
script-src 'nonce-a1b2c3d4',前端页面里内联的 才会被放行。你要是想动态执行 JS,别用 fetch 传 nonce,改用
fetch('/api/data')拿到数据后,用eval('('+data+')')或创建