content-security-policy

    1熱度

    2回答

    MVC Ajax.BeginForm和內容安全策略

    爲了防止跨邊界腳本,我實現了CSP到我的一個應用程序。在這一刻我重新配置所有的html類,以便JavaScript始終來自我的服務器。 現在我發現了一個頁面,其中包含一個Ajax.BeginForm,如果我想提交表單並更新視圖,則始終會顯示錯誤「Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an al
    c# jquery ajax asp.net-mvc content-security-policy 2014-11-05

    1熱度

    1回答

    Can Rails可以呈現無內聯CSS的表單來實現更嚴格的內容安全策略嗎?

    我想實施儘可能嚴格的內容安全策略(CSP)。據this intro on CSP,內嵌樣式是不好的(重點煤礦): 內嵌樣式是相同的方式處理:無論是樣式屬性和樣式的標籤應合併成爲外部樣式表,以防止各種出奇的聰明數據CSS支持的滲透方法。 如果您確實必須擁有內聯腳本和樣式,則可以通過在腳本src或style-src指令中添加'unsafe-inline'作爲允許的源來啓用它。 但請不要。 默認form
    html css ruby-on-rails content-security-policy 2014-11-05

    1熱度

    1回答

    CSP內容安全策略 - 爲什麼我們不使用它?

    我現在將CSP和其他與安全相關的http標題介紹給我工作的網站。他們都覺得自己像一個步入式的部分介紹所以沒有問題... ... 我迅速調查,其中所使用的網站是什麼HTTP標頭。令人驚訝的是,使用CSP的網站極少。我查閱了一些銀行登錄頁面,一些大型網站和一些技術驅動的網站(如stackoverflow)。 Facebook是我能找到的使用CSP的唯一網站。 Gmail僅在僅限報告模式下運行。 對於我
    security xss content-security-policy 2014-09-23

    1熱度

    2回答

    Chrome v.39和Content-Security-Policy HTTP標頭

    我們最近在新發布的Chrome v.39中發現了一個有趣的bug。 它剛剛撞上標準的「Aw Snap!」如果iframe加載帶有Content-Security-Policy HTTP標頭的頁面,則在每個帶有iframe的頁面上發送消息。這阻止了網站,因爲我們託管了一些第三方廣告。 從我發現的「內容安全策略」標題是一個W3C標準和谷歌瀏覽器用於支持v.25和v.38版本之間。但從現在開始他們沒有。
    google-chrome http-headers content-security-policy 2014-11-21

    -1熱度

    1回答

    CSP中的多幀祖先被X FRAME選項所覆蓋

    我有一些問題可以爲我的UI設置安全策略,它可以由多個站點構成。我正在設定多框架祖先的CSP策略。添加XFrame選項是強制性的,所以如果我將它留空,渲染所有UI的父類將添加與CSP框架祖先相矛盾的XFO SAMEORIGIN。 一種選擇是使用ALLOWALL,但是這並不被廣泛支持。有沒有其他方法可以設置X框架選項,但允許來自多個Uris?
    content-security-policy x-frame-options 2014-11-25

    4熱度

    1回答

    Facebook登錄所需的CSP規則

    哪些是允許Facebook登錄的必需規則? 我目前允許這些: defaultSrc: ["'self'", '*.facebook.com', '*.akamaihd.net'], scriptSrc: ["'self'", '*.facebook.com', '*.akamaihd.net', "'unsafe-inline
    facebook-javascript-sdk content-security-policy 2014-10-06

    17熱度

    1回答

    內容安全策略和書籤

    Github上具有以下Content Security Policy: 內容安全-政策:默認-SRC *; script-src assets-cdn.github.com www.google-analytics.com collector-cdn.github.com; object-src assets-cdn.github.com; style-src 'self''unsafe-inli
    security google-chrome-extension bookmarklet browser-extension content-security-policy 2014-08-27

    19熱度

    2回答

    Chrome擴展「拒絕評價一個字符串,如JavaScript,因爲 '不安全-EVAL'

    我有一個錯誤: Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' chrome-extension-resource:" . Either the 'unsafe-inline' keyword, a has
    javascript json google-chrome-extension content-security-policy 2014-07-17

    5熱度

    1回答

    聚合物硫化CSS

    我想將我的聚合物網絡應用程序打包爲Chrome打包應用程序,但我遇到了有關Chrome內容安全策略(CSP)的一些問題。在封裝它之前,我正在硫化應用程序(使用--csp選項),這對於JavaScript部分非常有用,但未能提取聚合物元素中內聯的CSS。有沒有辦法來1)覆蓋聚合物的CSS的CSP或2)提取CSS並將其放置在一個單獨的文件中的所有聚合物元素? 據我所知,作品中有一個PR來解決這個問題,
    polymer content-security-policy google-chrome-app 2014-10-27

    8熱度

    1回答

    爲什麼內嵌安全策略阻止了這種內嵌JavaScript?

    我有一個頁面,我設置了內容安全策略的這樣的腳本源: script-src 'self' *.uservoice.com *.intuit.com ajax.googleapis.com localhost:* 當我加載與我創建自己來測試一個硬編碼的嵌入式腳本的頁面,它被阻止像預期: 拒絕,因爲它違反了以下 內容安全策略指令執行內嵌腳本:「腳本的src‘自我’ * .uservoice.com
    javascript google-chrome xss content-security-policy 2014-07-21
最新問題