当前位置：首页 > article >正文

【已解决】“Content-Security-Policy”头缺失

article 2025/1/5 7:23:05

1、作用

简称CSP，意为内容安全策略，通过设置约束指定可信的内容来源，降低异源文件攻击，例如：js/css/image等

2、相关设置值

指令名	demo	说明
default-src	'self' cdn.example.com	默认策略,可以应用于js文件/图片/css/ajax请求等所有访问
script-src	'self' js.example.com	定义js文件的过滤策略
style-src	'self' css.example.com	定义css文件的过滤策略
img-src	'self' img.example.com	定义图片文件的过滤策略
connect-src	'self'	定义请求连接文件的过滤策略
font-src	font.example.com	定义字体文件的过滤策略
object-src	'self'	定义页面插件的过滤策略,如 <object>, <embed> 或者<applet>等元素
media-src	media.example.com	定义媒体的过滤策略,如 HTML6的 <audio>, <video>等元素
frame-src	'self'	定义加载子frmae的策略
sandbox	allow-forms allow-scripts	沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作
report-uri	/some-report-uri

3、示例：

default-src 'self';只允许同源下的资源

script-src 'self';只允许同源下的js

script-src 'self' www.google-analytics.com ajax.googleapis.com;允许同源以及两个地址下的js加载

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';多个资源时,后面的会覆盖前面的

4、在nginx配置文件中添加，例如：

add_header Content-Security-Policy "default-src 'self'";只允许同源下的资源

add_header Content-Security-Policy "upgrade-insecure-requests;content *";将本站内部http链接自动改为https，并不限制内容加载来源。

http://www.kler.cn/a/457491.html

相关文章：

vim 的基础使用

2025考研江南大学复试科目控制综合（初试807自动控制原理）

【华为OD-E卷 - 最优资源分配 100分（python、java、c++、js、c）】

Hive之import和export使用详解

nature reviews genetics | 需要更多的针对不同种族的癌症基因组图谱研究，促进精准治疗和维护治疗公平权益

【Java设计模式-1】单例模式，Java世界的“独苗”

C++ 设计模式：建造者模式（Builder Pattern）

SpringBoot和SpringCloud对应版本

Django Admin 中实现动态表单：无 JavaScript 解决方案

【智能科技与信任网络】2025年区块链、人工智能与计算机技术工程国际会议 (BAICTE 2025)

2-6-1-1 QNX编程入门之进程和线程（三）

【C语言】数组指针与指针数组

Formality：匹配(match)是如何进行的？

通过MySQL binlog日志，使用canal同步分库分表数据，到 Elasticsearch

大数据技术-Hadoop（一）Hadoop集群的安装与配置

【每日学点鸿蒙知识】navigation跳转异常、默认加载移动端版本网页、Menu位置、View生成图片保存相册、H5原生交互

2024/12/29 黄冈师范学院计算机学院网络工程《路由期末复习作业一》

Linux day 1129

java高频面试之SE-05

关于ESD（静电放电）等级的划分

.net8使用log4.net并自定义日志表的字段

Django管理界面自定义操作重启ECS服务

业务智能化的关键：探索事件驱动的业务规则模型

网络的类型

面试场景题系列：设计键值存储系统

在Bash Shell脚本中创建和使用变量