问题标签 [unsafe-inline]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
content-security-policy - 我们正在使用的 API 需要 'unsafe-eval' 'unsafe-inline',我们能否在不进一步损害安全性的情况下使用 CSP 限制脚本来源?
'unsafe-inline' 'unsafe-eval'如果在 CSP 中使用,我们对 JavaScript API 有很强的依赖性。如果我们添加具有以下值的 CSP 标头,我们是否可以通过限制将可能执行脚本的来源列入白名单来改善我们的安全状况,或者我们是否通过明确允许更多地开放自己 'unsafe-inline' 'unsafe-eval'?我们目前的想法是,如果没有 CSP,我们会隐式允许内联脚本和 eval,否则我们的 API 将无法工作,那么 'unsafe-inline' 'unsafe-eval'显式添加到 CSP 的缺点是什么?
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://<localserver> https://<remoteserver>
angular - 错误无角度:“拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'”
我在 Angular 6.2.8 中的项目进展顺利。但是,此错误开始出现在控制台上:
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'”。启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-2P8mXF+NOGY5a6oJ1jDjLINrckn9RgJYdEesn+Qf4rQ=”)或随机数(“nonce-...”)。
有谁知道我该如何解决这个问题?
javascript - 多个内联脚本的 CSP 解决方案
所以... CSP 在我的网站上成功实施。但是 - 我的网站使用许多内联脚本来重定向访问者,具体取决于他们的 HTML 复选框选择。在开发中,unsafe-inline已经足够了,但我现在已经准备好上线了,这是阻止我这样做的一大障碍。
这将是我的代码的一个示例。对于站点菜单,实际上可以有数百个相同的复选框连续排列到不同的目的地。
我确实有一个添加书签的解决方案链接,以便我以后可以返回此链接,但我似乎已将其删除...
所有帮助表示赞赏!
javascript - Patternlab:拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“default-src 'none'”
我是唯一在运行 Patternlab 时遇到错误的前端人员,而其他开发人员似乎正常启动它,我收到下一条错误消息(跨浏览器)
无论我尝试什么,我似乎都无法修复它,设置新项目,设置 Patternlab 的新实例,删除并重新安装节点,等等。有人知道可能是什么问题以及如何解决吗?
我使用 Macbook Pro(如果我的操作系统或我机器的整体某些方面对此有任何影响,则为 Idk)
reactjs - 如何在 React 中加载内联样式而不在 CSP 中使用“不安全内联”
我的 CSP 策略: add_header Content-Security-Policy "default-src 'self' data: ws://localhost:9000 'nonce-qwertyuiopasdfghjkl';";
控制台错误: 拒绝应用内联样式,因为它违反了以下内容安全策略指令:“default-src 'self' data: ws://localhost:9000 'nonce-qwertyuiopasdfghjkl'”。启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-PpoL88sugL+MixGj6eFNM05Q0l/B2tpC9guyJrsQkSY=”)或随机数(“nonce-...”)。另请注意,'style-src' 未明确设置,因此 'default-src' 用作后备。
代码中不存在被阻止的内容代码,它是在加载时自动生成的,因此不能使用 nounce
此处的错误图像
让我知道是否需要更多信息。
html - 当我使用 datalist 时,如何解决“它违反了以下内容安全策略指令:“default-src 'self'”?
当我将 datalist 与 Content-Security-Policy" content="default-src 'self'" 一起使用时,它会给出错误,“拒绝应用内联样式,因为它违反了以下内容安全策略指令:”default-src 'self' ”。启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-pIL...”)或随机数(“nonce-...”)。请注意,哈希不适用于事件处理程序、样式属性和 javascript: 导航,除非存在“unsafe-hashes”关键字。另请注意,'style-src' 未明确设置,因此 'default-src' 用作后备。”。
数据列表在浏览器中按我希望的那样工作,但是错误消息很烦人。由于我希望尽可能保持安全性,因此我不想将 Content-Security-Policy 更改为 unsafe-inline。你能给我一个提示来解决这个问题吗?
angular - 内容安全策略阻止 Angular 样式
我想发布一个具有严格内容安全策略的 Web 应用程序。最后剩下的问题是:style-src 'self';
我在浏览器控制台中收到错误消息,指出根据 CSP 中的 style-src 指令阻止加载资源。该错误引用了 main..js 文件中的代码,该文件由ng build --prod.
如果我添加'unsafe-inline'到style-srcCSP 中的指令,一切正常,但是,我不想这样做。
我可以在我的代码或构建选项中做些什么来使 Web 应用程序与更严格的 CSP 一起工作吗?
我使用的是 Angular 11,刚刚升级到 12 并且有同样的错误。
谢谢!
angular - 为什么 CSP script-src unsafe-inline 会在我的 Angular webapp 上引发样式问题?
问题:
当我尝试删除CSP 的unsafe-inline源代码时,script-src我的 Angular webapp 不再工作。
这个问题的根本原因是什么?
在 Angular@12+ 中使用 SCSS 时,Angularonload在index.html:7上添加一个属性
<link rel="stylesheet" href="styles.672c1ac3d6da8cc311a2.css" media="print" onload="this.media='all'">
这会导致违反标头的 CSPunsafe-inline源script-src。
如何解决此问题并在我的 Angular Web 应用程序上消除此“安全漏洞”?