CSP策略生效后怎么测试是否拦截了非法脚本?
我在本地开发时加了 Content-Security-Policy,但不确定它有没有真的拦住外部脚本。比如我故意引入一个 CDN 的 JS,控制台没报错,但页面也没反应,到底是 CSP 拦了还是脚本本身有问题?
试过在 meta 标签里加 <meta http-equiv="Content-Security-Policy" content="default-src 'self'">,也试过在响应头里设置,但不知道怎么验证拦截是否生效。
有没有办法看到 CSP 具体阻止了哪些请求?或者强制让它在控制台打出拦截日志?
- 0
回答
12浏览
CSP策略生效后内联脚本报错怎么解决?
我在本地测试 Content Security Policy,加了 CSP 头之后页面里的内联 JS 直接被拦截了,控制台报错说“Refused to execute inline script”。但...
- 2
回答
40浏览
CSP策略配置后为什么还是被绕过执行了内联脚本?
在做渗透测试时,给网站加了CSP策略禁止内联脚本,但测试人员用base64编码的dataURI依然能执行恶意脚本,这是怎么回事? 我的CSP配置是这样的:Content-Security-Policy...
- 2
回答
38浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
- 1
回答
23浏览
CSP 的 script-src 用 hash 为啥不生效?
我在本地开发时给内联脚本加了 CSP hash,但浏览器还是报违反策略,明明 hash 是对的啊? 我用的是 Chrome,控制台显示:Refused to execute inline script...
- 2
回答
25浏览
CSP 的 hash 值怎么算才对?为什么我加了还是报错?
我在给一个内联脚本加 CSP 的 hash 策略,但浏览器一直报违反策略。我用的是 sha256,命令是 echo -n "alert('hello')" | openssl dgst -sha256...
- 1
回答
45浏览
CSP 的 font-src 限制导致自定义字体加载失败怎么办?
我在 React 项目里用了 Google Fonts,但部署后控制台报错说被 CSP 的 font-src 策略拦截了,明明已经在 meta 标签里加了 'self' 和 fonts.gstatic...
- 2
回答
37浏览
strict-dynamic 下 Vue 动态组件加载被 CSP 阻止怎么办?
我在项目里启用了 CSP 的 strict-dynamic 策略,结果 Vue 的动态组件渲染直接被浏览器拦了,控制台报“Refused to execute inline script”。明明没写内...
- 2
回答
74浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
- 2
回答
85浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
- 2
回答
29浏览
为什么我的CSP策略阻止了eval函数,但移除unsafe-eval又报错?
我在开发动态表单组件时用到了eval执行表达式,CSP报错提示缺少unsafe-eval。尝试在header里加了script-src 'self' 'unsafe-eval',但控制台还是显示: C...
打开 Chrome DevTools,切换到 Console 面板,CSP 拦截的信息会直接显示在那里,格式大概是 "Refused to load script from 'xxx' because of Content-Security-Policy"。不过默认有时候会折叠,你得注意点开过滤选项,把 All、Warnings、Errors 都勾上。
还有个更直观的地方:Security 面板。在 DevTools 里找 Security 这一栏,点进去能看到页面用了什么 CSP、哪些资源被阻止了,一目了然。
如果你用的是 report-uri 或者 report-to 指令,可以在 CSP 头里加上 report-uri https://你的上报地址,这样违规请求会被发送到那个地址,你就能在服务器日志里看到详细的拦截记录。测试的时候特别好用,比如:
default-src 'self'; script-src 'self'; report-uri /csp-report
把 /csp-report 挂到 WordPress 的 admin-ajax.php 或者自定义 endpoint 上,就能收到 JSON 格式的违规报告。
至于你说的"控制台没报错但页面也没反应",这种情况通常是脚本被 CSP 静默拦截了。你去 Network 面板看看,那个请求的状态码是不是 (blocked:by:csp),如果是的话那就是 CSP 干的。
WP 里面有些插件会自己加 CSP 头,你要注意看下有没冲突。实在不确定就在当前页面的 DevTools 里直接看 Response Headers,看看 CSP 头的内容对不对。
最直接的办法是打开 Chrome DevTools,切换到 Security 面板,这里会明确标注哪个资源被 CSP 拦截了,以及原因。你也能在 Network 面板看请求状态,blocked by CSP 的请求状态栏会显示 (blocked by CSP)。
如果你想更主动地获取拦截日志,可以在 CSP 策略里加 report-uri 或者 report-to,把拦截报告发送到你的服务器。比如:
服务器端收到 POST 请求后就能看到完整的拦截详情,包括blocked-uri、document-uri、violated-directive 这些字段。
还有个土办法是在页面上放一个明显会被拦截的脚本,比如
,然后去 Network 面板确认这个请求的状态是 (blocked by CSP) 还是 404。如果是前者就说明 CSP 生效了。另外提醒一下,meta 标签设置 CSP 和响应头设置 CSP 在某些浏览器行为不太一样,有些浏览器会忽略 meta 标签的 report-uri。建议优先用响应头方式。