content-security-policy

Я не могу сделать базовое Angular2 (окончательное) приложение работает со следующим ограничительным CSP. default-src 'none'; script-src 'self'; style-src 'self'; font-src 'self'; img-src 'self' data:; connect-src 'self' Есть одна небезопасная-eval ошибка в lang.js и два в зоне .js . Не могли бы вы предл...

Спецификация политики безопасности контента говорит Директива frame-ancestors устаревает заголовок X-Frame-Options. Если ресурс имеет обе политики, то следует применять политику предков фрейма и игнорировать политику X-Frame-Options. Поэтому, насколько я понимаю, если присутствуют оба заголовка Conten...

Есть много вопросов, так похожих на этот, Однако ни один из них не решил мою цель. Я создаю "pinterest", как расширение chrome. Он вводит скрипт на веб-страницу, собирает изображения и затем размещает их где-то. Все работает отлично, однако когда я запускаю это на самом pinterest, он дает мне эту ошибку: ...

У меня есть одностраничное приложение, в котором я загружаю только индекс, а каждый второй запрос-это запрос ajax. Нужно ли мне использовать заголовки CSP в этих ответах ajax или CSP уже применяется для всего после загрузки индекса ? Таким образом, в основном единственное место, где мне нужно установить заг...

Предположим, что мой сайт находится по HTTPS, и мне нужно загрузить ресурс CSS или Object из HTTP, как я могу это сделать? Обратите внимание, что я могу добавить Content-Security-Policyв заголовки ответов на веб-сайтах HTTPS, но я точно не знаю, как это сделать. Может кто - нибудь дать мне решение?...

Я пытаюсь реализовать заголовок Content-Security-Policy-Report-Only для моего веб-сайта. Для этого мне нужен контроллер, который будет принимать пост-запрос браузеров - который будет отправлять данные о нарушении в виде JSON. Этот запрос, однако, похоже, указывает тип контента как application/csp-report вмест...

CSPv3 задает новое открестился-открывалка политики Директива disown-opener гарантирует, что ресурсоткажется от своего opener при переходе к нему. Связанная спецификация WHATWG также не очень полезна: Атрибут opener IDL объекта Window при получении должен возвращать объект WindowProxy контекста прос...

У меня есть Java-приложение, работающее на Tomcat 6. Мое приложение работает на localhost и Порту 9001. Чтобы сделать мое приложение более безопасным и уменьшить риск атак XSS, я добавил Заголовок Content-Security-Policy со значением default-src * 'unsafe-inline' 'unsafe-eval';script-src 'self'. С помощью...

в этом простом примере я пытаюсь установить заголовок CSP с заголовком meta http-equiv. Я включил изображение base64, и я пытаюсь заставить Chrome загрузить изображение. Я думал data ключевое слово должно сделать это, но почему-то это не работает. Я просто получаю следующую ошибку в Инструменты разработчика...