本话题发布内容安全策略相关的博客文章和技术分享,将持续更新,为您推荐了12篇博客,访问即可查看更多精彩内容。
-
我的写法,亲测靠谱 CSP(Content Security Policy)里的frame-ancestors指令,说白了就是用来控制页面能不能被嵌套到iframe里。我在多个项目里都用过这玩意儿,踩...
-
我为什么又在搞 CSP 这玩意? 上个月项目上线前安全扫描,扫出一堆 CSP 风险,甲方爸爸直接甩了一页报告过来,说不加 Content Security Policy 就不算交付。没办法,前端背锅侠...
-
直接上代码,这才是 CSP frame-ancestors 的正确打开方式 上周上线一个内嵌页面,被安全团队卡住了:「你们这个页面能被任意网站 iframe 嵌入,有点击劫持风险,必须加 frame-...
-
先看效果,再看代码 上周上线一个用户评论功能,结果 QA 一测就炸了:有人在评论里贴了段 <script>alert(1)</script>,页面直接弹窗。我赶紧翻了下代码,发...
-
又踩坑了,CSP 的 default-src 让我静态资源全挂了 上周上线一个新项目,本地跑得好好的,一部署到测试环境,页面直接白屏。F12 一看,控制台全是红的:Refused to load th...
-
为啥我要折腾 strict-dynamic? 最近项目要过安全审计,CSP(Content Security Policy)成了绕不开的坎。以前我们用 unsafe-inline 图省事,结果被安全团...
-
优化前:卡得不行 上周上线一个新功能后,用户反馈页面加载慢得离谱,尤其在低端安卓机上,白屏时间能到5秒以上。我一开始以为是打包体积太大,或者接口慢,结果 Lighthouse 一跑,发现「避免巨大的网...
-
为什么我要折腾 CKEditor 的不同方案? 最近一个项目要给后台加个富文本编辑器,需求不算复杂:支持基础格式、图片上传、代码块,最好还能自定义按钮。老板说“别搞太重”,但产品经理又想要“类似 No...
-
我的写法,亲测靠谱 我在项目里用 Feature-Policy(现在叫 Permissions-Policy 了,但很多人还是习惯叫老名字)已经好几年了。说实话,一开始根本没搞懂这玩意儿到底有啥用,直...
-
又踩坑了,Trusted Types 报错把我拦在了 CSP 门外 上周上线一个新功能,本地跑得好好的,一部署到测试环境,控制台直接炸了:Uncaught TypeError: Failed to s...
-
先看效果,再看代码 最近在做一个项目,客户特别强调网站的安全性。这让我想起了之前踩过的坑,安全头(Security Headers)的重要性真是不可忽视。今天就来聊聊我在实际项目中怎么用的,希望能帮到...
-
我的写法,亲测靠谱 在前端安全这块儿,script-src 是一个非常重要的配置项。它能帮助我们防止一些常见的 XSS 攻击。我一般这样处理: Content-Security-Policy: scr...
