1
是否可以將Content-Security-Policy配置爲不阻止任何內容?我正在運行一個計算機安全類,並且我們的網絡黑客攻擊項目正在遇到新版Chrome的問題,因爲沒有任何CSP頭,它會自動阻止某些XSS攻擊。允許所有內容安全策略?
A
回答
3
最好的辦法是不應用任何政策。
但是,爲了回答你的問題,一個「讓所有的政策」很可能是:
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
注:未經檢驗
1
它並不安全可言,但作爲盯着點真正讓所有的政策是:
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
見:https://content-security-policy.com/和this SCP migration guide。
相關問題
- 1. 內容安全策略允許內聯樣式不帶不安全內聯
- 2. AWS內容安全策略
- 3. 與內容安全策略
- 4. 內容安全策略春季安全
- 5. 內容安全策略(CSP):如何在對象中允許svg圖像
- 6. MVC Ajax.BeginForm和內容安全策略
- 7. 內容安全策略錯誤?
- 8. Safari內容安全策略支持
- 9. 內容安全策略 - 兒童SRC
- 10. ASP.NET WebForms中的內容安全策略
- 11. 內容安全,策略+幀祖先
- 12. iFrame中webapp的內容安全策略
- 13. 內容安全策略Internet Explorer錯誤
- 14. 內容安全策略的getJSON
- 15. IE支持的內容安全策略
- 16. 內容安全策略和mod_pagespeed evals
- 17. 內容安全策略+表格插件
- 18. Owncloud javascript內容安全策略問題
- 19. 內容安全策略未運行.htaccess
- 20. 內容安全策略警告
- 21. 內容安全策略錯誤
- 22. 帶內容安全策略的reCAPTCHA
- 23. 內容安全策略和書籤
- 24. Chrome擴展內容安全策略
- 25. 內容安全策略停用
- 26. 內容安全策略語法的URI
- 27. Chrome擴展,從內容安全策略
- 28. Firebase + Chrome內容安全策略設置?
- 29. Evernote Web Clipper和內容安全策略
- 30. 禁用內容安全策略
不幸的是,沒有制定任何政策,Chrome會主動添加一些自己的XSS保護措施,所以沒有任何事情會變得更糟。但是,謝謝! – joshlf