1回答
我无法让我的应用程序在Google AppEngine上正确运行。我有一个Flask应用程序,它的内容安全策略由管理
我正在阻止对的API调用,因为它们违反了"connect-src“策略。对此URL的请求的类型为xhr。实际消息如下:
Refused to connect to 'http://review-dot-my-project.appspot.com/api/foo' because it violates the following Content Security Policy directive: "connect-src 'self&
浏览 8提问于2018-05-04得票数 0
我有个很奇怪的问题。我有一个Webservice构建,它使用一个简单的Perl 脚本作为API的包装器(以允许受限的交叉源控制)。无论如何,为了允许跨源请求,我设置了以下标题:
Content-Type: text/plain
Access-Control-Allow-Origin: $origin
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-Requested-With, Content-Type, Accept, Accept-Language, Content-Langu
浏览 1提问于2016-01-20得票数 2
回答已采纳
1回答
对于一个私人项目,我想从我的主页加载一些外部图像,脚本和样式,但它不工作。哪里出错了?
Nginx Config-文件
location / {
index index.php index.html index.htm;
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
浏览 4提问于2019-12-23得票数 0
当使用Google Analytics时,我从Safari 13.1中得到了以下错误,但没有从Chrome获得:
Refused to connect to https://www.google-analytics.com/j/collect?XYZ
because it does not appear in the connect-src directive of the Content Security Policy.
我的应用程序没有尝试连接到www.google-analytics.com,但是它从www.googletagmanager.com下载一个脚本,然后从www.google
浏览 3提问于2020-05-16得票数 2
回答已采纳
我对提供的指令有点困惑。主要与connect-src、script-src和style-src混淆
我有一个javascript,它发送Fetch、Ajax (在同一个域上),并动态加载带有样式表的链接标记。
如果我必须让我的脚本在域上被白化,这应该是所有connect-src、script-src和style-src的一部分吗?我在这里有点困惑。
更清楚的是,https://example.com上有一个脚本,用于加载、从https://example.com发送数据和在https://some-another-domain.com加载样式表。内容安全策略应该如何反映这一点?connect-
浏览 2提问于2021-01-14得票数 1
回答已采纳
Refused to connect to 'wss://abc.cn:8083/' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'connect-src' was not explicitly set, so 'default-src' is used as a fallback.
上面这是浏览器控制台报错
后端响应头是
content-security-p
浏览 2561提问于2021-04-11
1回答
我有一个进步的网络应用程序。我在使用谷歌字体,在我的服务工作者中使用。
“我的内容安全策略”定义为:
// Omitting all the other directives
style-src 'self' https://fonts.googleapis.com 'unsafe-inline';
font-src 'self' https://fonts.gstatic.com;
connect-src 'self';
我已经设置了工作盒,通过遵循食谱来缓存字体。代码看起来像:
workbox.routing.regist
浏览 0提问于2019-06-19得票数 0
回答已采纳
我正在尝试构建一个CSP策略,如下所示:
Content-Security-Policy: "default-src 'self'; script-src 'self' https://*.example.com; object-src 'none'; style-src 'self'; img-src 'self' 'unsafe-inline'; media-src 'self'; frame-src 'self' https://*.example.co
浏览 3提问于2021-05-07得票数 0
1回答
我正在为一个网页编写一个外部脚本,我需要通过这个脚本向另一个资源发出一个POST JSON请求。
但是,当我这样做时,它会抛出CSP错误:"Refused to connect to <URL> because it violates the following Content Security Policy directive: "connect-src 'self'"。
我查看了网页,看到了包含内容-安全策略和CSP内容的元标记。然而,我尝试手动将我的<URL>添加到CSP connect-src内容中,但它仍然无法工作。
问
浏览 0提问于2018-12-19得票数 1
有没有办法在运行时更改ember-cli-content-security-policy中的connect-src? contentSecurityPolicy: {
'default-src': "'none'",
'script-src': "'self' 'unsafe-inline' 'unsafe-eval' www.google-analytics.com",
'font-s
浏览 24提问于2019-09-23得票数 0
2回答
我的服务器(my.server.com)生成一个HTML页面,该页面调用另一个服务(external.server.com)来加载数据。对于ajax调用,我使用jquery。
$.ajax({
url:"https://external.server.com/check",
dataType: 'get',
success:function(json){
// do stuff with json (in this case an array)
$("userContainer"
浏览 2提问于2020-02-10得票数 0
我无法连接到websocket,因为我的CSP (内容安全策略)-怎么了?
错误:
ps:412拒绝连接到'wss://hostname.domain:port/jsonWebSocket‘,因为它违反了以下内容安全策略指令:“connect src 'self'”。
我的IIS web.config
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
浏览 0提问于2018-03-30得票数 1
我有一个Safari用户无法连接的在线白板。他们从控制台得到以下信息。
Refused to connect to wss://whiteboard.[MYDOMAIN].com/[MOREPATHSTUFF] because it does not appear in the connect-src directive of the Content Security Policy.
只有Safari才会这么做。铬,FF,边缘等工作良好。我看过其他与此相关的帖子,似乎Safari需要.
<meta http-equiv="Content-Security-Policy"
浏览 7提问于2021-08-11得票数 2
回答已采纳
最近,我已经为我的web应用程序设置了内容-安全性-策略头。我已经尽量严格了。最让我印象深刻的是,由于第三方组件,我不得不允许blob: for connect-src和img-src。( connect-src和img-src在其他方面都仅限于self和一些硬编码URL。)
因此,我的问题是:是否允许blob:存在一般的安全风险,也就是说攻击者可以在注入的脚本中用blob包装任何URL,从而连接到任意资源?
浏览 0提问于2018-07-25得票数 17
回答已采纳
我使用以下策略设置了内容安全策略(仅报告):
report-uri https://my-company.report-uri.com/r/d/csp/reportOnly?ngsw-bypass=true; default-src 'self'; script-src 'self' https://www.googletagmanager.com; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://www.google-analytics.
浏览 6提问于2021-08-25得票数 1
回答已采纳
1回答
我有一个成员/成员-cli应用程序,我正在升级从1.10到1.12。此应用程序使用运行在开发中的端口8000上的API。我有下面的environment.js
module.exports = function(environment) {
var ENV = {
modulePrefix: 'myapplication',
environment: environment,
baseURL: '/',
locationType: 'auto',
EmberENV: {
FEATURES:
浏览 3提问于2015-05-18得票数 2
回答已采纳
我有一个.htaccess文件的下一个代码
<IfModule mod_headers.c>
Header set Content-Security-Policy "base-uri http://site.local/"
Header append Content-Security-Policy "default-src 'none'"
Header append Content-Security-Policy "connect-src 'self'"
浏览 0提问于2018-09-24得票数 3
回答已采纳
2回答
在环境中违反内容安全策略指令
、、、、
我已经构建了一个音乐播放器组件,它使用了SoundCloud Api
突然,在Chrome中,每当我在应用程序中播放歌曲,加上歌曲不播放时,我就开始在我的控制台中收到这个错误通知。
见错误
拒绝连接到“…”fe493d321fb2a6a96186dcb97beab08f3cea5ad8b42d543c3edc7371f0eb5b2b00ba96395e‘是因为它违反了以下内容安全策略指令:“connect src 'self’data: cf-media.sndcdn.com ws://localhost:35729 ws://0.0.0.0:35729 ”。
它抱怨的是“c
浏览 1提问于2016-02-28得票数 1
我们在IIS ASP.NET网站上使用NWebsec。一切都很好,但是为Google Analytics维护所有的Google域名是一件有点痛苦的事情。似乎每个用户所在的国家都会使用不同的Google域名: <connect-src self="true">
<add source="www.google.com" />
<add source="www.google.de" />
<add source="www.go
浏览 13提问于2020-01-23得票数 0
回答已采纳
1回答
我尝试了一系列安全策略来连接我们的api,但总是被拒绝。
Refused to connect to 'https://myapi...' because it violates the following Content Security Policy directive: "connect-src 'self' https://myapi.../* 'unsafe-inline' 'unsafe-eval'".
我使用的是电容器-社区/电子的默认代码,我所做的只是尝试了一大堆不同的Content-Securit
浏览 3提问于2021-10-19得票数 0
当向"“发出http请求时,控制台抛出一个错误
Refused to connect to...because it violates the following Content Security Policy directive: "connect-src http://localhost:*...
如何解决此错误?
浏览 3提问于2022-06-29得票数 0
在您的内容安全策略中指定connect-src指令是否会放松浏览器的同源策略,并允许您发出跨源XHR请求?或者该指令仅用于限制已经合法的XHR (即同源调用或CORS启用的调用)?
浏览 2提问于2012-10-17得票数 10
回答已采纳
我正在构建一个NextJs应用程序,每次我向外部api发出请求时,它都会给出一个类似于以下错误的错误:
Refused to connect to 'https://flagcdn.com/64x48/us.png' because it violates the following
Content Security Policy directive: "connect-src 'self' webpack://*".
Refused to connect to 'https://flagcdn.com/64x48/us.png&#
浏览 7提问于2022-02-24得票数 0
1回答
我正在将我的离子/角度应用程序构建为一个电子应用程序,当我运行它并加载它时,会得到以下错误:
Refused to connect to 'https://xxxxxxxxxx.com/whpacking/v1/getlocations' because it violates the following Content Security Policy directive: "default-src capacitor-electron://* 'unsafe-inline' devtools://* 'unsafe-eval' data
浏览 16提问于2022-04-12得票数 0
我不会从Rest获取服务url中获取数据(当我通过浏览器和Rest客户端访问服务时,我会得到数据)。当我检查控制台时,我发现它被列为阻塞-uri。如何从阻塞的-uri列表中删除它。
{
"csp-report": {
"blocked-uri": "http://192.168.1.66:8080/hubx/employees",
"document-uri": "http://localhost:4200/data-grid",
"original-policy": "default-sr
浏览 5提问于2016-05-23得票数 0
回答已采纳
1回答
我试图创建一个超级简单的网站,只是为了显示内容,并有另一个页面,能够改变页面上的上述内容。(安全性是零关注的,所以请随意发布非常粗略的答案)。
但是,当我访问该站点(托管在NGINX背后的数字海洋服务器上)时,我会得到以下错误:
Refused to connect to wss://subdomain.domain.online/socket.io/?EIO=4&transport=websocket&sid=SIDHERE because it appears in neither the connect-src directive nor the default-src
浏览 1提问于2021-03-01得票数 0
1回答
我刚刚开始使用vue.js并尝试向我的服务器发送一个post请求,但是请求被CSP阻止了。
错误消息:
Refused to connect to 'http://127.0.0.1:5000/login' because it violates the following Content Security Policy directive: "connect-src 'self' ws:".
我已经试图改变我的元标签,但没有找到任何解决办法。
<meta http-equiv=Content-Security-Policy content
浏览 0提问于2019-07-25得票数 2
回答已采纳
我们正在尝试在我们的应用程序中实现CSP。但我们遇到了以下情况: 我们使用的是Epson EPOS SDK脚本,该脚本连接到用户打印机的本地IP。该IP对于每个用户都是不同的(当然),并且我们不能在connect-src行中添加所有主机。 我试图生成特定代码的散列,但我无法获得该代码。SDK (加载为'epos.js')正在向打印机发送带有命令的POST。当我在PostMan中发送该命令时,我只能从打印机得到响应(XML),而不能从脚本得到响应。 现在,我正在寻找与此SDK结合使用CSP的其他方法。当然,我可以添加一个*作为connect-src,但这与不使用CSP是一样的。
浏览 15提问于2021-04-07得票数 1
回答已采纳
嗯,这就是我的浏览器控制台出现的错误,我使用的是一个域,而该域只有一个子域,而且我仍然无法访问子域。实际上,我还收到了其他一些错误。
我的猜测是,我所犯的错误是在add_header Content-Security-Policy,在connect-src部分。这是域部分和Content-Security-Policy:
server {
large_client_header_buffers 1 1K;
listen 80;
server_name www.just4bettors.mobi just4bettors.mobi;
root
浏览 0提问于2015-03-27得票数 5
回答已采纳
我将CSP设置为允许连接到google字体服务,如下所示。在第一次加载时,一切正常(我怀疑SW缓存任何内容),但是当我刷新页面时,尽管connect-src显式地添加了Google字体url,我还是看到了错误。
CSP添加到index.html中
<meta http-equiv="Content-Security-Policy"
content="
default-src 'self' https: fonts.googleapis.com;
font-src &
浏览 9提问于2020-09-10得票数 1
我想添加一个完整的angular 8应用程序到chrome扩展与内容脚本(不在弹出),我已经添加了一个内容安全策略的清单文件,如
content_security_policy": "script-src 'self' 'unsafe-eval' 'unsafe-inline'; object-src 'self'; style-src * 'unsafe-inline'; font-src 'self' data:; connect-src self * 'unsafe-e
浏览 1提问于2021-07-01得票数 0
我使用的是Yii2 小部件,它工作得很好,但是它不能在他们的网站上记录视频,他们建议添加一些叫做CSP的东西。
有人能建议在什么地方,怎么添加下面的代码吗?
Content-Security-Policy: default-src 'self'; script-src 'self' https://*.smartlook.com https://*.smartlook.cloud 'nonce-randomlyGeneratedBase64Nonce' 'unsafe-eval'; connect-src 'self&#
浏览 6提问于2020-11-28得票数 1
回答已采纳
我目前在我的网站上使用jQuery 3.4.1和jQuery 1.12.1 (用于自动完成)。我还使用了不想使用的unsafe-inline和unsafe-eval。
我的<meta/>标签:
<meta
http-equiv="Content-Security-Policy"
content="script-src 'self' 'unsafe-eval' https: cdnjs.cloudflare.com code.highcharts.com stackpath.bootstrapcdn.com
浏览 4提问于2020-09-26得票数 5
当我尝试从Android Emulator调用MFP适配器时,收到以下错误
拒绝连接到'‘,因为它违反了以下内容安全策略指令:"default-src 'self’data: gap: 'unsafe-eval'“。请注意,没有显式设置'connect-src‘,因此使用'default-src’作为备用。
浏览 4提问于2018-08-28得票数 0
我正在构建一个电子客户端应用程序,它在本地网络上找到一个服务器,然后用socket.io连接到这个服务器。我希望通过阻止客户机连接到比我自己使用CSP更多的服务器来保护客户端。有趣的是:尽管Chrome抛出了CSP违规,但它仍然是连接的。
下面是我代码的重要部分:
main.js
function createWindow() {
mainWindow = new BrowserWindow({
width: 1200,
height: 600,
webPreferences: {
preload: path.join(__dirname, "p
浏览 7提问于2020-06-17得票数 0
2回答
jquery-1.11.1.min.js:4 Refused to connect to
'https://xxxxxxxx/v1/common/introductions/faqs' because it
violates the following Content Security Policy directive: "default-src
'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'". Note that
'connect-src'
浏览 0提问于2017-07-29得票数 3
我已经在我的配置中设置了这个
ENV['contentSecurityPolicy'] = {
'connect-src': "'self' http://10.0.1.3:8000"
};
但是接缝是完全可以忽略的。我做错了什么吗?目标是将ajax调用发送到该ip或localhost。我也试过了,同样的结果。
浏览 0提问于2015-10-19得票数 0
我在Heroku上部署了一个简单的投资组合站点(自由层)。该站点是使用Express Node.js和React构建的前端。为了使用需要.dev的SSL域,我注册了Cloudflare。现在一切都正常了,除了我的发送电子邮件表单。我得到以下错误: Refused to connect to `https://<my-app>.herokuapp.com/api/v1/email/sendemail' because it violates the following Contect Security Policy directive: "default-src &
浏览 21提问于2021-04-04得票数 0
回答已采纳
我在Angulars项目index.html文件的meta标记中定义了CSP <meta http-equiv="Content-Security-Policy"
content="default-src 'self';
connect-src 'self' https://baseurl1/ https://baseurl2/ https://baseurl3/;
img-src 'self' data: http://bas
浏览 24提问于2019-12-16得票数 3
回答已采纳
2回答
来自服务工作者的一些响应违反了CSP,我可能需要添加此标头: Content-Security-Policy = "connect-src *;“ 来自服务工作者的所有响应,如here和here所解释的。 如何使用angular PWA将响应头添加到服务工作者响应中?
浏览 38提问于2019-06-21得票数 2
回答已采纳
1回答
我有一个jhipster生成的应用程序,我想在其中添加一个websocket。在本地,一切正常,但在服务器上,我得到了CSP错误。如何解决这个问题?我尝试将<meta http-equiv="Content-Security-Policy" content="connect-src *;">添加到index.html中,但无济于事。Nginx作为代理站在应用程序的前面。 ?
浏览 112提问于2021-08-30得票数 2
我向host_pernissions和content_security_policy.extension_pages添加了主机:"default-src 'self'; connect-src 'self' https://example.org/;",我试着用mode: cors和credentials: include发送reqs,但是没有帮助。在开发人员工具中,我们可以启用显示,过滤掉请求cookie,,我们将看到所有丢弃的cookie:
浏览 1提问于2021-01-27得票数 0
1回答
我正在尝试加载一个从NodeJS/Express后端提供的React应用程序中的头像图像。
我将我的内容安全策略设置为:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src 'self' s.gravatar.com; style-src 'self'; connect-src 'self'; ">
才能访问重力图像。
但是,当我在生产模式下运行React应用程序时,我在控制台中得
浏览 25提问于2021-06-08得票数 2
2回答
:)
我正在将Chrome加载到Facebook中,并对我自己的网站做了一个简单的JQuery GET请求。当调用get请求时,我在控制台中得到以下错误.
"Refused to connect to 'https://www.istyla.com/Popup/t2.php' because it violates the
following Content Security Policy directive: "connect-src https://*.facebook.com
http://*.facebook.com https://*.fbcdn.n
浏览 2提问于2012-12-07得票数 4
回答已采纳
当我在Android中运行一个运行android 5的手机上的离子型应用程序时,没有显示任何图像,并且我得到了每个图像的信息:
Refused to connect to 'http://192.xxx.x.xxx:3000/promotions/0' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'connect-src' was not explicitly set, so
浏览 5提问于2016-01-31得票数 0
回答已采纳
我正在测试一个网站,并注意到当我将API请求的GET方法更改为TRACE时,它会在Burp中继器中返回一个错误405-Method not allowed。这很好。
问题是,还有很多其他信息也在回应中,如下所示:
HTTP/1.1 405 Method Not Allowed
Expires: 0
Expires: 0
Cache-Control: no-cache, no-store, must-revalidate
Cache-Control: no-cache, no-store, must-revalidate
Keep-Alive: timeout=300
Keep-Alive: t
浏览 0提问于2019-05-10得票数 0
1回答
我正在尝试使简单的XMLHTTPRequest到安全政府页面。
Refused to connect to 'https://www.sec.gov/cgi-bin/browse-edgar?CIK=LEL&Find=Search&owner=exclude&action=getcompany&count=100' because it violates the following Content Security Policy directive: "connect-src *://localhost:3000 https://www.
浏览 0提问于2018-05-20得票数 1
我正在尝试检查我的cordova 5.1.1 angular应用程序是否可访问。因此,我在android上启用了对讲功能。安卓试图加载。但它显示“无法加载资源”。我已经给了访问样式“。In index.html ;-src 'self‘'unsafe-inline’*;script-src 'self‘'unsafe-inline’'unsafe-eval‘*;img-src *;connect-src *;index.html-src *;">。有谁能找到解决这个问题的办法吗?
Cordova版本5.1.1 Android : 4.4.2
浏览 5提问于2015-10-08得票数 0
我想读取我的服务器上同一子域中的一个文件,并显示其内容。我在上看到过类似的问题,除了在我的例子中,所有的文件都在我的服务器上,并且在相同的子域(甚至是相同的目录)中,我不想劫持别人的线程。
我的服务器上有三个文件:
counter.txt:
1234
loadfile.js:
function loadFile(filePath) {
var xhttp = new XMLHttpRequest();
xhttp.onreadystatechange = function() {
if (this.readyState == 4 && this.
浏览 100提问于2018-07-12得票数 1
《卫报》(在我的理解中)使用了一个相当宽松的内容安全政策:
default-src https:; script-src https: 'unsafe-inline' 'unsafe-eval'; style-src https: 'unsafe-inline'; img-src https: data: blob:; media-src https: data: blob:; font-src https: data:; connect-src https: wss:
与根本不使用CSP相比,使用这样的CSP有什么好处吗?
浏览 3提问于2018-08-04得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
