CSP 的 report-to 在 React 中怎么配置才生效?
我在项目里加了 Content Security Policy,想用 report-to 收集违规报告,但浏览器控制台一直报错说找不到 report-to 端点,根本没发请求。我后端明明配好了 /csp-report 这个接口啊。
我在 React 的 index.html 里加了 meta 标签,也试过在服务器响应头里设置,都不行。是不是 report-to 还需要额外注册 Reporting API?下面是我现在用的 CSP 配置:
// 在 public/index.html 的 meta 标签中
<meta http-equiv="Content-Security-Policy"
content="default-src 'self';
report-to csp-endpoint;">
// 同时还加了这个
<meta http-equiv="Reporting-Endpoints"
content="csp-endpoint='/csp-report'">
但 Chrome 控制台提示:「无法解析 report-to 策略:未找到名为 csp-endpoint 的端点」。这到底该怎么配?
- 2
回答
40浏览
React里用了report-to但CSP报告没收到怎么办?
在React项目里配置了CSP的report-to指令,但一直没收到违规报告,是不是哪里写错了? 我按照文档设置了meta标签,还用.env文件存了端点: // index.js document.a...
- 1
回答
15浏览
CSP 的 report-to 指令怎么配置才能真正上报违规日志?
我在项目里加了 Content-Security-Policy,想用 report-to 把违规信息发到自己的接口,但试了好几次都没收到上报。是不是我配置错了? 这是我的响应头设置: Content-...
- 1
回答
22浏览
React Native中调整Vector Icons的图标大小和颜色不生效怎么办?
我在用React Native的Vector Icons时,设置样式后图标大小和颜色都没变化。之前按文档写了类似这样的CSS样式: .icon-style { font-size: 32px !imp...
- 1
回答
3浏览
CSP报告为啥没触发?我的report-uri配置有问题吗?
我在 React 项目里加了 Content-Security-Policy,想测试下 report-uri 能不能收到违规上报。本地 dev server 启动后故意引入了个 inline scri...
- 2
回答
25浏览
React Native 用 Vector Icons 图标不显示怎么办?
我按照文档装了 react-native-vector-icons,也 link 了(用的是 RN 0.68),但图标死活不显示,只看到一个方框。试过重启 Metro 和重新 build,还是不行。 ...
- 1
回答
30浏览
React Native Vector Icons图标显示空白怎么办?
刚安装react-native-vector-icons后,代码写好了但图标全是空白,我按教程做了但没效果。 尝试过:react-native link和重启metro,还手动复制了字体文件到andr...
- 2
回答
48浏览
React Native中使用Vector Icons显示红色感叹号怎么办?
大家好,我在用react-native-vector-icons时,按照文档安装完字体包后,页面上只显示红色感叹号。已经用npm install了包并重启了metro,代码是这样写的: import ...
- 2
回答
34浏览
Jira的Custom Query Report怎么自定义显示特定字段?
我在用Jira的Custom Query Report做迭代统计时,想让表格里显示"Due Date"和"Story Points"这两个字段,但界面里的可选列里根本找不到这两个选项。之前在Issue...
- 2
回答
91浏览
CSP配置报错:Refused to execute inline script because it violates the following Content Security Policy directive
我在给项目添加CSP头时遇到了问题,页面一加载就报错:Refused to execute inline script because it violates the Content Security...
- 2
回答
90浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
先说结论:别用 report-to 了,直接用 report-uri 或者新标准的 report-to + Reporting-Endpoints 配对。
正确做法是这样:
1. 先在 HTML 的 meta 里加 Reporting-Endpoints(不是 Reporting-Endpointss,别拼错了):
2. 然后 CSP 里也用 report-to,但必须和上面的 endpoint 名字完全一致:
注意!这两行 meta 标签顺序不能错,Reporting-Endpoints 必须在 CSP 前面,浏览器是按顺序解析的,反了就找不到端点。
不过实测发现,有些版本的 Chrome 对 meta 标签里的 Reporting-Endpoints 支持不稳定,更稳妥的方式是直接在服务器响应头里配:
后端接口
/csp-report收到的 POST 数据是 JSON 格式,body 里是 report 对象,别用 express.json() 解析失败了。复制过去试试,先改 meta 顺序,再看控制台有没有请求发出来,不行就上响应头方案,99% 是顺序或者拼写问题。