本话题发布CSP安全策略相关的博客文章和技术分享,将持续更新,为您推荐了7篇博客,访问即可查看更多精彩内容。
-
我的写法,亲测靠谱 CSP(Content Security Policy)里的frame-ancestors指令,说白了就是用来控制页面能不能被嵌套到iframe里。我在多个项目里都用过这玩意儿,踩...
-
connect-src这玩意儿,真的挺重要 说实话,我最早接触Content Security Policy(CSP)的时候,完全没把connect-src当回事。直到后来项目上线,用户反馈说API请...
-
线上突然报警,用户说按钮点不动 周五下午本来准备摸鱼下班了,结果群里突然炸了:好几个用户反馈在某个页面点击购买按钮没反应。一开始以为是网络问题或者接口挂了,查了一圈发现接口正常,日志里也确实有请求打进...
-
我为什么又在搞 CSP 这玩意? 上个月项目上线前安全扫描,扫出一堆 CSP 风险,甲方爸爸直接甩了一页报告过来,说不加 Content Security Policy 就不算交付。没办法,前端背锅侠...
-
我的写法,亲测靠谱 说实话,X-Frame-Options这个东西我在实际项目中用得不算频繁,但每次用都是为了堵安全漏洞。最常见的就是防止点击劫持(Clickjacking),这玩意儿真的不能掉以轻心...
-
我的写法,亲测靠谱 说实话,unsafe-eval这个东西我在实际项目中用得并不多,但每次遇到相关问题都得重新折腾一遍。之前做数据可视化平台的时候,有个动态组件加载的需求,用户可以上传自定义的Java...
-
直接上代码,这才是 CSP frame-ancestors 的正确打开方式 上周上线一个内嵌页面,被安全团队卡住了:「你们这个页面能被任意网站 iframe 嵌入,有点击劫持风险,必须加 frame-...
