因此,我尝试用一个nounce属性填充我的next.js项目中的样式组件,但没有成功。正在设置CSP的style-src,但是因为没有在样式中设置not,所以会抛出错误。我到目前为止所得的资料如下: server.js server.use((req, res, next) => { res.locals.styleNonce__we
浏览 68提问于2019-05-30得票数 7
然而,当我试图添加一个(或者至少一个没有“不安全”这个词)时,我最终会遇到一堆违规行为,似乎是来自Next.js和样式组件。还是不可能将这些库与严格的CSP结合使用(没有服务器生成的nonce)?
浏览 2提问于2021-10-13得票数 0
回答已采纳
1回答
现在让我们说,我想申请一个严格的CSP。为了做到这一点,我从以下政策开始,但是它不能工作,因为web组件定义中的样式元素是内联的。我所知道的唯一的解决方案是添加一个nonce,一个散列,或者不安全的内联。我不会考虑不安全-内联,因为它削弱了安全,这否定了问题的重点,即保持一个严格的CSP。让我们考虑另外两种选择。一旦内容
浏览 2提问于2021-06-20得票数 2
回答已采纳
1回答
我目前正在为使用Next.js制作的生产应用程序制定内容安全策略(CSP)。虽然我已经找到了使用框架实现CSP的可靠文档,但我需要确保正确地解决了一些问题。问题#1:我读过在headers中设置的安全策略更好。但是,我无法找到一种使用这种方法在生产中为内联样式传递“nonce”属性的方法。
有没有一种在"next.config.js“中使用头配置的
浏览 1提问于2021-11-14得票数 8
1回答
我正在为我的CSP头跟踪,并且正确地添加了现在的值,但是我一直在浏览器中为我的脚本获取这个错误:
<script type="text/javascript" src="/client/dist/in
浏览 0提问于2017-07-12得票数 2
回答已采纳
2回答
我创建了一个具有.ce.vue扩展的web组件(如这里所描述的:),这样我的样式就会内联在阴影中。当我在晶闸管模板中使用这个web组件时,我得到了一个CSP错误,并且我的样式没有加载:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:" style -src 'self‘nonce-xxx=’‘要么是‘不安全-内联’关键字,要么是散列('sha256-xxx='),或者是“不安全-内联”(‘
浏览 7提问于2022-07-13得票数 1
我使用的是Yii2 小部件,它工作得很好,但是它不能在他们的网站上记录视频,他们建议添加一些叫做CSP的东西。
有人能建议在什么地方,怎么添加下面的代码吗?Content-Security-Policy: default-src 'self'; script-src 'self' https://*.smartlook.com https://*.smartlook.cloud 'nonce-randomlyGeneratedBase64Noncec
浏览 6提问于2020-11-28得票数 1
回答已采纳
1回答
我们正在为JSF中的脚本实现CSP,并且不知道在整个会话中重用脚本是否安全。或者,就像arturjanc建议的那样,让原始文档将其当前的当前状态发送到生成未来响应的服务器。假设在整个会话中重用nonce是不安全的,那么只在隐藏的表单输入中包含初始的nonce就可以了,比如当前实现的。编辑:关于arturjanc回答的其他想法:
请您更详细地介绍一下如何在当今典型的JSF应用程序中实现每个响应的非per,即在开始时只加载一个完整的页面,
浏览 0提问于2019-05-03得票数 1
是否有方法处理从外部库添加的内联脚本/样式?在我自己的风格中,我只使用nonce,但不能将它添加到外部库中。style"); document.head.appendChild(t)CSPinline style because it violates the following Content Security Policy directive: &q
浏览 15提问于2019-10-18得票数 5
回答已采纳
1回答
对于我的公司,我需要更新我们的Nuxt + Vuetify应用程序,以使用内容安全策略(,CSP)报头。'unsafe-inline'不允许用于'default-src'。我们目前面临的问题是,Vuetify在运行时向DOM元素添加样式属性。('nonce-...') is required to enable inline execution.这个问题也发生在其他虚拟组件上,v-system-bar只是一个例子。我知道为<style>
浏览 8提问于2021-05-07得票数 0
回答已采纳
我做了一些修改,因为我不喜欢,所以我删除了它们,现在我的扩展抛出了错误:我在以下位置进行了更改:<!DOCTYPE html> <head>
浏览 1306提问于2013-07-21得票数 92
回答已采纳
我们正在尝试将CSP实现到我们的一个站点中,虽然我们理解如何允许或不允许脚本,但我们仍然对nonce/sha*部分感到困惑。我们有外部脚本,如integrity="sha*“附带的引导程序和jquery,并且应该避免内联脚本或样式。所有内联的内容都应该重构到外部文件中。我们的问题是,我们是为站点中的每个js或css文件(不是外部文件)创建一个sha* key/nonce-*,还是只在script-src/style-src内容-安
浏览 0提问于2018-05-07得票数 0
回答已采纳
他们将一个CSP指令设置为:default 'self‘。和其他角度应用程序一样,我们使用ng build --prod构建了角应用程序。现在我正在寻找一种解决方案来克服这一问题,当然,改变CSP策略不是一种选择,因为客户不想这样做。
我如何告诉角不使用标签<style>在生产中为css服务?我认为要使它工作,我们需要设置角度的方式,它将加载css文件,然后使用样式在这些文件,而不是注入<style>到html,这将导致CSP<
浏览 1提问于2020-04-20得票数 0
1回答
有一个具有边界梯度的登录按钮组件。我有一个神通组件
这种错误发生在许多地方。在项目的样式-组件,类名,scss,引导,梅。不久,我们将摆脱引导& scss;构建next.js,服务器端呈现,类型记录,
还有另一个例子
浏览 3提问于2022-01-20得票数 -1
1回答
我只是来自react背景,我的意图是,我想在组件级别使用SCSS文件,就像我在我的react应用程序中使用的那样,我不喜欢接下来的更改,会产生一些粗俗的错误:
Global CSS cannot be
浏览 8提问于2022-05-07得票数 2
回答已采纳
1回答
忽略样式属性上的内容安全策略
、、、、
我正在设置内容安全策略,供应商库(bootstap)将样式内联设置为显示对话框,Edge/铬表示更改已被拒绝。我的CSP标头(为便于阅读而分成几行)如下:script-src 'self' 'nonce-OGrJRYbkub0OVcGnjoCFDw/OF+bamLQddwgBEfu9HjE'self';
manifest-src
浏览 2提问于2021-02-22得票数 1
我复制了Google的示例代码,用于从嵌入Google内容安全策略:忽略script-src中指定的“https:”指定的“严格-动态”(未知)
我在我的http localhost和web服务器上的https域上都尝试过不需要步骤2下面的实际代码来复制问题,只需将它们的脚本添加到文档中,就会出现该错
浏览 5提问于2017-10-16得票数 0
2回答
我的CSP策略正被最新版本的Chrome所忽视。我今天决定重新创建这个策略来尝试调试为什么,但是正如您从下面的错误中看到的,Chrome建议我添加一个已经在CSP中的散列(请参阅sha256-idz8mDU5fJ8lJuEwY6hbkXVde/nqBBjQEEither the 'unsafe-inline' keyword, a hash ('sha256-idz8mDU5fJ8lJuEwY6hbkXVde/nqBBjQE/u5rxw1HUk='), or a
浏览 5提问于2018-09-25得票数 4
我读了不少这篇文章,发现大量评论表明,如果我需要应用“不安全的内联”,CSP头真的不会对我有多大帮助。
因此,我的问题是:应用“不安全内联”会或多或少地使CSP变得毫无意义吗?有人对如何在SPA上处理CSP有什么好的想法吗?
浏览 0提问于2020-05-28得票数 3
1回答
当我通过删除所有不安全的内联脚本来增强CSP时,我在我的网站的一个特定页面上遇到了一个问题。我编辑了所有内容,以便在一个小规模的场景中更容易理解它。
内容安全策略:页面的设置阻止了在self上加载资源(“script-src ‘nonce-sampleCor矩形nonce’不安全-内联‘’不安全-eval‘”)。v=154005
浏览 1提问于2018-10-28得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
