如何使用元标签放松内容安全策略
How to relax Content Security Policy with meta tag
我正试图使用某些页面的特定元标记来覆盖内容安全策略。
我已经试了几个小时了,但还没有成功。
有没有一种方法可以在不修改服务器配置的情况下从页面本身覆盖CSP(使用JavaScript或元标记)?
否。
出于安全原因,元标记只能使策略更加严格,而不是放松在标头中定义的策略。
如果元标签可以放松政策,CSP将没有牙齿。任何恶意方都可以添加一个元标签来禁用该策略,并避免所有应该存在的限制。
您可以收紧CSP,但不能放松它。您可以在生成页面的代码中重新配置站点以收紧/放松CSP。例如,在PHP中,您可以创建一个头,但稍后会覆盖该头——只要您在将任何内容实际输出到浏览器之前这样做。
这就是我在我管理的网站上所做的——每个页面都有一个相当严格的默认CSP标题,但在特定的页面上,我可能会放松它,允许特定于该页面的内容。但你必须在生成页面本身时做到这一点;在发送初始CSP头之后,您不能使用Meta标记或JavaScript。
相关文章:
- 内容安全策略:页面's设置阻止加载资源
- 导致内容安全策略(CSP)冲突错误的本地jquery.js文件
- 旋转木马;启用内容安全策略时无法工作
- Extjs、Chrome扩展和内容安全策略
- 内容安全策略指令:;脚本src'self'blob:文件系统:chrome扩展资源:“;获取是否时
- 内容安全策略:无法在Chrome扩展中加载Google API
- 手动加载JQuery而不触发内容安全策略
- chrome扩展的内容安全策略问题
- WebGL CORS:试图突破用户代理的安全策略
- 单源策略在使用XMLHttpRequest时妨碍了我
- 在 JavaScript 中跟踪安全策略权限
- 如何打破内容安全策略
- 内容安全策略 + 表单插件
- 跨站点 XMLHttpRequest 内容安全策略指令解决方法
- 护照Facebook策略,使用AJAX触发路由
- 内容安全策略阻止对 *://www.google.com/recaptcha/api 的请求
- 如何使用元标签放松内容安全策略
- 浏览器安全策略如何使用XMLHttpRequest
- 可以'由于安全策略的原因,不要使用Raphael JS在Chrome扩展弹出窗口中绘制路径
- 在 Chrome 中使用内容安全策略时触发要调用的函数