问题标签 [inline-scripting]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 为什么我的代码违反了内容安全政策?
我想使用以下机制推迟非关键 css:
我有以下内容安全政策:
尝试加载和解释文档时,浏览器阻止执行 onload 事件处理程序脚本,因为它违反了 CSP,我不明白,因为该脚本的 sha256 是在 script-src 指令中设置的。
有任何想法吗?我使用在线 sha256 生成器生成 CSP 中的 sha256 集。遗憾的是,Chrome 没有在控制台中为我提供它想要的 sha256,这是我以前见过的。
python - CSP 不接受内联脚本哈希或随机数
我正在开发一个 Flask 应用程序,它使用 Flask-Talisman 来合并 CSP。我想在我的一个模板中创建一个内联脚本,而不是将“unsafe-inline”添加到可能对 XSS 攻击有潜在危害的 CSP 的“script-src”数组中,我想使用哈希或nonce 允许脚本。我在 Opera 的开发工具中复制了控制台错误消息中给出的哈希值,并将其放在 CSP 的“script-src”数组中(在init .py 文件中)。但是,由于某种原因,CSP 不会接受哈希,我不知道如何修复它。我也用随机数尝试了这个,并且发生了同样的问题。这是控制台输出(出于安全原因,我删除了哈希):
这是我在init .py 中的 CSP:
javascript - 将js文件合二为一,做成内联脚本
如何将多个 JavaScript 文件合并为一个并使其成为内联脚本。目前我可以使用gulp usemin将其合并为一个文件,但我不能将其作为内联脚本。我想解决渲染阻塞请求问题。我的问题是以下是否可以做到?
这是代码的一部分
javascript - 如何禁用内容安全策略并保持安全?
我想禁用 CSP -app.use(helmet.contentSecurityPolicy())因为它会阻止任何内联脚本。哈希和随机数解决方案(https://content-security-policy.com/examples/allow-inline-script/ )对我的应用来说太过分了。xss-clean软件包或其他解决方案是否足以获得常规适度的安全性?
谢谢 :)
powershell - 如何使用 PATS 从 TFS 构建定义中的内联 Powershell 脚本执行 powershell 文件
我正在尝试从 TFS 构建定义中的 Powershell 任务执行 powershell 脚本 XYZ.ps。构建定义与 UserA 一起执行,并且此 UserA 没有读取/写入脚本 XYZ.ps 执行的 SQL 的权限。
出于这个原因,我正在探索可以为 UserB(有权执行脚本 XYZ.ps 执行的 SQL)创建的 PATS(个人访问令牌),以便可以使用此 UserB 执行 ps 脚本 XYZ.ps。我可以看到很多关于仅将 PATS 用于 rest-api 的参考,但是如何使用 PATS
(1) 通过使用 PATS (2) 调用 powershell 脚本或将特定 PAT 传递给 powershell 脚本,然后在脚本中使用它 (3) 或以任何其他方式将 PAT 与 powershell 脚本一起使用。
基线是尽管进行了研究,但我不明白如何使用 PAT 来满足我的要求 - 请帮助!
html - 如何翻译内联javascript?
所以我正在做一个 django 项目,我们正在将英语翻译成捷克语(不重要)。我可以很好地处理被翻译的常规标签{% trans 'sample text' %}
但是,我在链接中有一个按钮,点击后,此链接会返回确认信息。完整的 html 看起来像这样
现在我想以某种方式翻译确认中的“示例文本”文本,但是当我尝试使用它时,{% trans %}它给了我错误“foo/bar expected (js)”
javascript - CSP 标头的随机数和散列之间哪个指令更好以避免不安全内联?
我必须将 CSP 标头添加到站点。问题是这是一个遗留代码,并且 HTML 中有很多内联脚本和样式。我不能使用“unsafe-inline”,因为其目的实际上是使网站安全,并且该指令在 OWASP ZAP 工具扫描中给出了危险信号。我可以在一定程度上重构 HTML 和 JS 代码,但我有几个问题:
我尝试了一个固定的随机数(仅用于 POC)和将内联脚本列入白名单的哈希方式。但是由于所有的 HTML 都是静态的,我如何为每个请求添加一个新的随机数到脚本标签(就像随机数的实际情况一样)?
在这种情况下,提供所有必需脚本和样式的哈希是否比 nonce 更好?
如果我重构所有 HTML 的代码以从 body 标记中删除所有内联脚本并将代码添加到 head 的单个脚本标记中,这是否意味着内联脚本被消除了?简而言之,是否算作内联脚本?
javascript - 当内容安全策略阻止它时如何注入内联脚本?
我正在使用Chrome Extension ReactJS我想将其插入popup.html:
我在控制台中遇到此错误。我已经尝试过元标记,但我不知道应该使用什么指令。
现在,它只有在我直接从https://unpkg.com/ringcentral-c2d@1.0.0/build/index.js内部粘贴脚本时才有效popup.jsx,但它不合适。
我怎么能克服这个?
javascript - 内容安全策略自阻塞内联
根据我的经验,启用时,下面的标题会阻止页面上的内联脚本。
Content-Security-Policy: default-src 'self'.
为什么内联代码不被视为“自我”?
我知道我可以使用 nonce 或其他变通方法来允许内联或移动到外部文件。我只是想知道为什么内联代码不被视为自我。
希望这是有道理的