CSP策略生效后内联脚本报错怎么解决?
我在本地测试 Content Security Policy,加了 CSP 头之后页面里的内联 JS 直接被拦截了,控制台报错说“Refused to execute inline script”。但我只是想快速验证 CSP 是否生效,又不想改太多代码,有啥临时办法吗?
我试过加上 ‘unsafe-inline’,但听说这不安全,而且在 nonce 或 hash 存在时会被忽略。现在我的 CSP 是这样设置的:Content-Security-Policy: default-src 'self',然后页面里有段调试用的内联脚本:
document.addEventListener('DOMContentLoaded', () => {
console.log('CSP test');
document.body.style.backgroundColor = '#f0f0f0';
});
这种情况该怎么处理才既安全又能跑起来?
- 2
回答
101浏览
CSP策略配置后为什么还是被绕过执行了内联脚本?
在做渗透测试时,给网站加了CSP策略禁止内联脚本,但测试人员用base64编码的dataURI依然能执行恶意脚本,这是怎么回事? 我的CSP配置是这样的:Content-Security-Policy...
- 2
回答
49浏览
CSP 的 hash 值怎么算才对?为什么我加了还是报错?
我在给一个内联脚本加 CSP 的 hash 策略,但浏览器一直报违反策略。我用的是 sha256,命令是 echo -n "alert('hello')" | openssl dgst -sha256...
- 2
回答
56浏览
CSP 的 script-src 用 hash 为啥不生效?
我在本地开发时给内联脚本加了 CSP hash,但浏览器还是报违反策略,明明 hash 是对的啊? 我用的是 Chrome,控制台显示:Refused to execute inline script...
- 1
回答
56浏览
CSP配置后内联脚本报错怎么解决?
我在项目里加了 Content-Security-Policy,结果页面上所有内联的 <script> 都被拦了,控制台报错说不安全。 试过加 'unsafe-inline',但听说这会降...
- 2
回答
72浏览
CSP 的 font-src 限制导致自定义字体加载失败怎么办?
我在 React 项目里用了 Google Fonts,但部署后控制台报错说被 CSP 的 font-src 策略拦截了,明明已经在 meta 标签里加了 'self' 和 fonts.gstatic...
- 2
回答
53浏览
为什么我的CSP策略阻止了eval函数,但移除unsafe-eval又报错?
我在开发动态表单组件时用到了eval执行表达式,CSP报错提示缺少unsafe-eval。尝试在header里加了script-src 'self' 'unsafe-eval',但控制台还是显示: C...
- 2
回答
61浏览
React中使用strict-dynamic后动态内联样式还是被CSP拦截怎么办?
最近给项目加CSP防护时遇到怪事,按照文档在nonce策略里加了'strict-dynamic',但React组件里的动态内联样式还是被拦截。明明设置了nonce和函数生成样式啊... 代码大概是这样...
- 1
回答
85浏览
CSP策略配置后为什么内联脚本报错?
我在项目里加了 Content-Security-Policy,结果页面上所有内联的 <script> 都被拦截了,控制台报错说违反了 script-src 策略。 我试过加上 'unsa...
- 2
回答
42浏览
CSP策略生效后怎么测试是否拦截了非法脚本?
我在本地开发时加了 Content-Security-Policy,但不确定它有没有真的拦住外部脚本。比如我故意引入一个 CDN 的 JS,控制台没报错,但页面也没反应,到底是 CSP 拦了还是脚本本...
- 2
回答
63浏览
strict-dynamic 下 Vue 动态组件加载被 CSP 阻止怎么办?
我在项目里启用了 CSP 的 strict-dynamic 策略,结果 Vue 的动态组件渲染直接被浏览器拦了,控制台报“Refused to execute inline script”。明明没写内...
首先在你的 HTML 页面头部加入 CSP 头,添加一个随机生成的 nonce 值:
然后在你的内联脚本标签上加上相同的 nonce 属性:
记得每次加载页面时更新 nonce 的值,这样才能保证安全性。这个方法能让你快速验证 CSP 是否生效,同时避免使用不安全的 'unsafe-inline'。
希望这能帮到你,虽然不是最终解决方案,但应付临时测试绰绰有余了。开发中遇到这种问题确实挺头疼的,不过慢慢调试总会搞定的。