我在我的代码中添加了如下所示的 CSP
res.header('Content-Security-Policy',
"default-src 'self' ; style-src 'self' '<hashvalue>';" +
"script-src 'self' '<hashvalue>';" +
"font-src 'self' data: fonts.gstatic.com;" +
"img-src 'self';" +
"frame-src 'self'; " +
"object-src 'none';" +
"frame-ancestors 'none';"+
"connect-src 'none';"
);
添加后,我的 UI 无法在 Firefox 上加载
即使我已经设置了这个 CSP,我也得到了 CSP 的 Appscan 问题
“AppScan 检测到 Content-Security-Policy 响应标头丢失或策略不安全,这增加了各种跨站点注入攻击的风险”
非常感谢您的帮助!
提前致谢!