如何在Vue.js应用程序中设置内容安全策略标头
如何在Vue.js应用程序中设置内容安全策略标头
提问于 2020-11-19 23:22:53
我试图通过消除点击劫持来确保我的Vue应用程序的安全。
我不确定如何设置Vue服务器的标头,方法是在元标记中设置X帧或帧祖先指令,如:
<meta http-equiv="Content-Security-Policy" content="X-Frame-Options: DENY:"
/>但是,下面的链接显示这是不受支持的https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
我意识到对于API请求,这些头应该设置在后端,然而,这是加载应用程序的主页(没有api请求)。
如何在我的Vue.js服务器中设置这些标头
回答 1
Stack Overflow用户
发布于 2020-11-19 23:26:53
应用程序的主页仍然通过HTTP加载。
浏览器发出HTTP请求以获取HTML文档。该超文本标记语言文档包含<script>元素,这些元素会使浏览器获取一些JS。浏览器运行一些JS并使用它来修改Vue应用程序中的HTML文档。
您应该将X-Frame-Options和Content-Security-Policy配置为在HTTP响应报头中提供,用于交付引导应用程序的初始HTML文档的响应。
不太好方法是使用<meta>标记(在同一个HTML文档中)设置CSP。您不能这样设置X-Frame-Options。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64914703
复制相关文章
相似问题
腾讯云开发者
