Strict-Transport-Security 头怎么配置才生效?
我在 Nginx 里加了 Strict-Transport-Security 响应头,但浏览器好像没识别,是不是我写法有问题?
试过这样配:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;但用 curl 看响应头里没有这个字段,是漏了什么吗?
- 2
回答
59浏览
为什么我的Strict-Transport-Security头没有生效?
我在Nginx配置里加了Strict-Transport-Security: max-age=31536000;,但用在线工具检查发现这个头信息没出现。重启服务后还是没效果,配置文件放在server块...
- 0
回答
9浏览
Security.txt 应该怎么在 React 项目里正确配置?
我最近在做前端安全加固,看到建议加个 security.txt 文件,但不太清楚怎么在 React 项目里配。试过直接放 public 目录下,但部署后访问 /security.txt 返回 404,...
- 2
回答
90浏览
设置了HSTS头但浏览器还是提示不安全,哪里出问题了?
我给项目加了Strict-Transport-Security头,代码是这样写的: app.use((req, res, next) => { res.setHeader('Stric...
- 0
回答
14浏览
strict-dynamic 加上后第三方脚本还是被拦截,怎么回事?
我给页面加了 CSP 的 strict-dynamic 策略,本意是让通过可信脚本动态加载的资源能正常执行,但像 Google Tag Manager 这类第三方脚本还是被浏览器拦了,控制台报“blo...
- 2
回答
24浏览
security.txt 文件到底该放哪里才生效?
我最近在项目里加了个 /.well-known/security.txt,但用安全扫描工具检测时老是提示找不到。我试过放在根目录和 public 目录下,Nginx 也配了路由,但访问 /securi...
- 2
回答
30浏览
strict-dynamic 下 Vue 动态组件加载被 CSP 阻止怎么办?
我在项目里启用了 CSP 的 strict-dynamic 策略,结果 Vue 的动态组件渲染直接被浏览器拦了,控制台报“Refused to execute inline script”。明明没写内...
- 2
回答
48浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
- 2
回答
48浏览
Security面板显示Mixed Content警告,但HTTPS配置没问题?
我在React项目里引用了HTTPS图片和CSS,但Chrome Security面板一直提示Mixed Content警告。明明检查过所有资源链接都是https://的,这是为什么? import ...
- 2
回答
47浏览
如何在Nginx的Content-Security-Policy中正确允许data:的CSS背景图片?
我在Nginx配置里启用了Content-Security-Policy头,但发现页面的CSS数据URI背景图被阻止了。尝试过在style-src里加了'data:'和'self',但还是报错“Blo...
- 2
回答
33浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
暂无解答