本话题发布Content-Security-Policy相关的博客文章和技术分享,将持续更新,为您推荐了5篇博客,访问即可查看更多精彩内容。
-
直接说结论:我偏爱CSP头配置 最近在处理HTTPS站点的安全问题时,block-all-mixed-content这个话题让我折腾了好几天。简单说下我的结论:虽然meta标签和HTTP头部都能实现阻...
-
直接上手:CSP的基本用法 最近在项目里折腾了一下CSP(Content Security Policy),说真的,这玩意刚开始接触还挺让人头疼的。不过现在回过头看,其实核心就那么几个关键点。我先给你...
-
我的写法,亲测靠谱 说实话,unsafe-eval这个东西我在实际项目中用得并不多,但每次遇到相关问题都得重新折腾一遍。之前做数据可视化平台的时候,有个动态组件加载的需求,用户可以上传自定义的Java...
-
为什么我要折腾 block-all-mixed-content 这个东西? 事情是这样的,上个月我们上线了一个新项目,HTTPS 全站强制开启,结果 QA 一测,发现部分老页面里的图片、脚本居然还是 ...
-
先看效果,再看代码 上周上线一个新项目,上线第二天就发现 CSP 报告里一堆 script-src 违规记录——但页面明明没报错,用户也完全没感知。我打开 report-uri 后台一看,全是 eva...
