X-Permitted-Cross-Domain-Policies 安全头到底该怎么配?
最近在做前端安全加固,看到建议加 X-Permitted-Cross-Domain-Policies 头,但文档说法不一。我试过设成 “none”,结果 Flash 资源加载报错(虽然现在没人用 Flash 了),但不确定会不会影响其他跨域场景?
我在 Vue 项目里用 Nginx 配的,但想确认下是不是前端代码也需要处理?比如这样:
<template>
<div>我的页面</div>
</template>
<script>
export default {
mounted() {
// 这里能设置响应头吗?好像不行...
}
}
</script>这头到底该由后端配还是前端管?设成 “none” 真的安全吗?
- 2
回答
55浏览
设置X-Permitted-Cross-Domain-Policies后Flash跨域还是被拦截怎么办?
我在配置安全头时加了X-Permitted-Cross-Domain-Policies: master-only,但Flash上传功能请求crossdomain.xml时还是报跨域错误,这是为什么? ...
- 2
回答
51浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
- 1
回答
4浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在部署一个前后端分离的项目,后端设置 Cookie 时指定了 Domain 为 .example.com,但前端在子域名 app.example.com 下死活读不到这个 Cookie,是不是 Do...
- 2
回答
19浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在 Vue 项目里加了安全头 Cross-Origin-Embedder-Policy: require-corp,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者 crossorigi...
- 2
回答
56浏览
设置Cross-Origin-Opener-Policy后新窗口突然打不开是怎么回事?
我在给网站配置安全头的时候加了"Cross-Origin-Opener-Policy: same-origin",结果页面里用window.open()打开新标签页的按钮突然失效了。点击后控制台报错说...
- 1
回答
21浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在尝试启用 COEP(Cross-Origin-Embedder-Policy: require-corp)来配合 SharedArrayBuffer 使用,但设置之后发现页面里的跨域图片全挂了,控...
- 1
回答
17浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 这个安全头,结果页面上用 <img> 标签加载的第三方图片全挂了,控制台报错说需要 C...
- 1
回答
13浏览
Cross-Origin-Opener-Policy 设置后页面打不开怎么回事?
我在 Nginx 里加了 Cross-Origin-Opener-Policy: same-origin,结果页面直接白屏了,控制台报错说“Blocked by COOP”。我就是想防止别人用 win...
- 2
回答
37浏览
Cross-Origin-Opener-Policy 设置后为什么页面打不开新窗口了?
我在 Vue 项目里加了 Cross-Origin-Opener-Policy: same-origin 安全头,结果用 window.open 打开新页面时直接被拦截了,控制台报错说“Blocked...
- 2
回答
54浏览
Cross-Origin-Embedder-Policy 设置后图片加载失败怎么办?
我在项目里加了 Cross-Origin-Embedder-Policy: require-corp 这个安全头,结果页面里的跨域图片全挂了,控制台报错说需要 CORS 或者使用 crossorigi...
