安全头检测失败,CSP配置到底该怎么写才对?
我在项目里加了 Content-Security-Policy 头,但用安全扫描工具一测还是报“缺少安全头”或者“CSP 配置不安全”。本地开发时用的是 nginx,已经尝试在配置里加了 add_header Content-Security-Policy "default-src 'self'";,但好像没生效?
这是我的 nginx 配置片段:
location / {
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline';";
try_files $uri $uri/ /index.html;
}是不是哪里写错了?为什么检测工具还是说 CSP 有问题?
- 1
回答
14浏览
CSP 的 font-src 限制导致自定义字体加载失败怎么办?
我在 React 项目里用了 Google Fonts,但部署后控制台报错说被 CSP 的 font-src 策略拦截了,明明已经在 meta 标签里加了 'self' 和 fonts.gstatic...
- 2
回答
30浏览
React里用了report-to但CSP报告没收到怎么办?
在React项目里配置了CSP的report-to指令,但一直没收到违规报告,是不是哪里写错了? 我按照文档设置了meta标签,还用.env文件存了端点: // index.js document.a...
- 2
回答
68浏览
CSP报显示图片源被阻止但已配置’srcset’还是不行怎么办?
我在开发环境设置了CSP头,但控制台一直报标签的图片被阻止,明明已经在'srcset'里写了self和具体域名,怎么还是不行? 配置是这样的:Content-Security-Policy: img-...
- 1
回答
2浏览
CSP 的 hash 值怎么算才对?为什么我加了还是报错?
我在给一个内联脚本加 CSP 的 hash 策略,但浏览器一直报违反策略。我用的是 sha256,命令是 echo -n "alert('hello')" | openssl dgst -sha256...
- 2
回答
12浏览
安全头配置后为什么检测工具还是报缺失?
我按照文档在 Nginx 里加了 CSP、X-Frame-Options 这些安全头,本地测试 headers 看起来都返回了,但用 SecurityHeaders.com 检测还是说 Missing...
- 2
回答
24浏览
strict-dynamic 下 Vue 动态组件加载被 CSP 阻止怎么办?
我在项目里启用了 CSP 的 strict-dynamic 策略,结果 Vue 的动态组件渲染直接被浏览器拦了,控制台报“Refused to execute inline script”。明明没写内...
- 2
回答
53浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
- 2
回答
55浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
- 2
回答
34浏览
CSP设置后图片资源被阻止,如何排查?
最近给项目加CSP头时发现图片加载失败,控制台提示"Blocked ... source of 'http://...' isn't listed"。我试过在标签用nonce和在CSP头添加,但问题依...
- 2
回答
32浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
add_header行为上。你写在location /里的add_header,在配合try_files使用时,只有当请求最终命中了静态文件(比如$uri存在)时,这些头才会被加上;如果请求被重写到/index.html(比如前端路由跳转),nginx 就不会继承外层的add_header,导致 CSP 头根本没发出去——这就是为什么扫描工具检测失败。最简单的修复方式是把 CSP 头提到
server块里,或者用always参数强制添加:注意我顺便把
'unsafe-inline'去掉了,因为现在主流扫描工具(比如 Mozilla Observatory、securityheaders.com)会把 inline script 视为高风险配置——除非你真有历史包袱必须用,否则建议先去掉它,后面再通过 nonce 或 hash 细粒度控制。如果还是不生效,记得检查响应头是不是被反代(比如 nginx 后面还挂了 Apache 或 Cloudflare)给覆盖了,这种情况得在最外层统一加头。
首先,
add_header在 nginx 里有个坑:如果某个 location 块里用了try_files,那这个 location 里的add_header只有在返回的状态码是 200、201、204、206、301、302、303、304、307 或 308 时才会生效。但更关键的是,nginx 的add_header是覆盖式的——如果上级配置(比如 server 块)或者默认模块(比如error_page)也加了 header,可能会覆盖你这个,或者干脆不生效。你检测工具报“缺少安全头”,大概率是这个 CSP 头根本没发出去。
先确认下:用浏览器 F12 看响应头里到底有没有
Content-Security-Policy这个字段。如果没看到,那说明 nginx 根本没加进去。通用的做法是把
add_header放到server块里,别放location里,避免被try_files干扰。比如:注意几个点:
- 所有
add_header都加了always,这是关键,否则 nginx 在某些响应(比如 4xx、5xx)里根本不加头。- 你原来的 CSP 里没写
style-src,现代项目基本都得加'unsafe-inline'才能跑起来(除非你用 hash 或 nonce),不然样式全挂。-
img-src 'self' data:是为了支持 base64 图片,很多地方会用。-
frame-ancestors 'none'是 CSP 的防点击劫持,比X-Frame-Options DENY更现代,但你留着X-Frame-Options也行,兼容性更好。另外,如果你用了 nginx 的
error_page自定义错误页,记得error_page的 location 里也得加 CSP,或者直接在 server 块统一加,别漏了。最后,改完配置别忘了
nginx -s reload,有时候你以为 reload 了但其实没生效(比如配置文件没写对),可以用nginx -t先检查语法。如果还是没生效,贴下完整 server 块配置,我帮你看看是不是被其他模块干掉了。