为什么在Chrome/Edge中允许使用CSP script-src指令,而在Firefox中不允许?
在Chrome/Edge中允许使用CSP(Content Security Policy)script-src指令,而在Firefox中不允许的原因是因为不同浏览器对于CSP的实现方式存在差异。
CSP是一种安全机制,用于帮助网站防御跨站脚本攻击(XSS)等安全威胁。它通过限制网页中可以执行的脚本来源,减少了恶意脚本的风险。
在Chrome/Edge中,允许使用CSP script-src指令的原因是这两个浏览器更加灵活地支持CSP的配置。script-src指令用于指定可以执行脚本的来源,包括内联脚本、外部脚本文件等。Chrome/Edge允许使用script-src指令的目的是为了给开发者提供更多的自由度,可以根据具体需求配置脚本来源,从而更好地满足网页的功能需求。
而在Firefox中不允许使用CSP script-src指令的原因是出于安全考虑。Firefox采用了更加严格的CSP实现策略,限制了脚本的来源,以减少潜在的安全风险。这种限制可能会导致某些网页无法正常加载或执行脚本,但可以提高网站的安全性。
需要注意的是,不同浏览器对于CSP的实现方式可能存在差异,开发者在编写网页时需要考虑不同浏览器的兼容性。对于在Firefox中无法使用CSP script-src指令的情况,开发者可以考虑使用其他CSP指令或者调整网页的设计,以满足浏览器的安全要求。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云CSP产品介绍:https://cloud.tencent.com/product/csp
相关·内容
1回答
通过Chrome扩展禁用网页的内容安全策略
javascript、google-chrome、google-chrome-extension、content-security-policy
我正在创建一个Chrome扩展,它修改由服务器提供的脚本(我无法控制)以向网站添加新功能,我有以下想法:
webRequestBlocking.Send 通过WebRequest阻止原始脚本,将被阻止的脚本的url插入到页面中。从页面的脚本中获取这个url。编辑代码的一部分(字符串)。编辑字符串。
(另一种工作方式是将其重定向到Chrome扩展文件夹中的本地修改脚本return { redirectUrl: chrome.extension.getURL("modified.js") };,但是不可能动态修改它,这就是为什么我想对修改过的脚本进行验证)
当我尝试在第五步中对字符
浏览 2提问于2020-05-10得票数 2
1回答
内容-安全性-带有事件处理程序散列的策略不适用于iOS Safari。
content-security-policy
在内联事件处理程序的内容安全策略中,是否有一种使iOS Safari尊重“不安全-散列”的方法?除了使用“不安全内联”之外,还有其他解决办法吗?
iOS Safari 14.3报告说,在桌面和安卓上的火狐和Chrome按预期工作时,违反了CSP的"script-src“。
目前不可能替换内联事件处理程序,因为事件处理程序是由JSF/Mojarra生成的。
下面是测试页面:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/D
浏览 2提问于2021-08-11得票数 0
回答已采纳
1回答
如何使用通配符编写CSP?
content-security-policy
我正在为我的网站写一个CSP,标题是通过AWS上的Lambda@Edge为我在lightsail上的网站添加的。我已经按如下方式设置了CSP,我一直在尝试让它工作:content-security-policy: default-src 'self' *.thetechcapsule.com thetechcapsule.com; img-src 'self'; script-src 'self'; style-src 'self'; object-src 'none' 我的域名是thetechcapsule.c
浏览 139提问于2021-04-17得票数 0
回答已采纳
1回答
Firefox扩展使用POST打开页面
firefox、post、content-security-policy
在Firefox扩展中,我需要在新的标签页中打开一个特定的网页,我需要向它发送帖子数据。我有完全控制目标网页(我的服务器)。
到目前为止,我尝试过的是..
这实际上是在没有数据的情况下发送GET (但在Chrome中有效。可能是CSP限制..)
我没有在网页上使用生成的表单,而是尝试了XmlHttpRequest。我可以成功地发送post请求并获得答案,但我只能获得纯文本形式的响应,不能在当前窗口中打开它(我只能获得静态内容,而不能在将其插入页面正文时使用脚本)
我尝试了一下XHR响应,并尝试:
document.open();
document.write(xhr.responseText
浏览 1提问于2018-04-21得票数 0
1回答
为什么在Chrome/Edge中允许使用CSP script-src指令,而在Firefox中不允许?
javascript、html、security、content-security-policy
我有一个非常简单的CSP头,请注意script-src指令:default-src 'none'; script-src 'self'; script-src-elem 'self' https://www.example.com 'unsafe-inline'; style-src https://www.example.com 'unsafe-inline'; manifest-src 'self'; frame-ancestors 'self'; worker-src
浏览 113提问于2021-06-17得票数 0
回答已采纳
1回答
来自HTML文档中嵌入式typeform的‘’unsafe eval‘错误| Google App Engine托管
html、google-app-engine、typeform
我目前正在谷歌的App Engine上托管一个网站。HTML文档只有一个嵌入的typeform调查,供访问者填写和提交。但是在Chrome的开发者工具下,我在显示Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'report-sample'时出现了两个'report on
浏览 21提问于2020-04-14得票数 0
2回答
Chrome扩展内容安全策略不允许资源
google-chrome、google-chrome-extension
在加载本地铬扩展名时,我会收到以下错误:
Refused to load the script 'https://widget.intercom.io/widget/APPID' because it violates the following Content Security Policy directive: "script-src 'self' http://localhost https://widget.intercome.io/ 'unsafe-eval'".
index.html:1 XMLHttpRequest
浏览 2提问于2015-04-30得票数 0
回答已采纳
4回答
在Google中调试CSP违规行为
javascript、security、google-chrome、tinymce、content-security-policy
我试图在使用以下内容时使用TinyMCE -报头:
X-WebKit-CSP: default-src 'self'; script-src 'self' 'unsafe-eval'; img-src *; media-src *; frame-src *; font-src *; style-src 'self' 'unsafe-inline'; report-uri /:reportcspviolation
我在Tools - JavaScript控制台中得到以下错误:
Refused to execute J
浏览 10提问于2012-07-06得票数 21
回答已采纳
1回答
只去旅行:拒绝连接到..。因为它没有出现在内容安全策略的connect指令中。
google-chrome、google-analytics、safari、content-security-policy
当使用Google Analytics时,我从Safari 13.1中得到了以下错误,但没有从Chrome获得:
Refused to connect to https://www.google-analytics.com/j/collect?XYZ
because it does not appear in the connect-src directive of the Content Security Policy.
我的应用程序没有尝试连接到www.google-analytics.com,但是它从www.googletagmanager.com下载一个脚本,然后从www.google
浏览 3提问于2020-05-16得票数 2
回答已采纳
1回答
基于IP的内容指令.安全性.策略标头
http-headers、content-security-policy、lighttpd
我使用的是服务器lighttpd/1.4.53。我想为我的服务器添加HTTP头“内容-安全-策略”。我有几个与此有关的问题:
正如这个标题的文档所示,大多数指令都是基于域的。例如,Content-Security-Policy: default-src 'self'; script-src *.example.com;是否有一种基于IP的方法?或者我们可以让“自我”考虑服务器自己的IP吗?
如何检查浏览器和服务器使用的CSP版本?CSP是否使用与父HTTP协议本身相同的版本?
文档:
浏览 3提问于2021-10-07得票数 0
1回答
Firefox 20.0中的CSP : default-src none
security、firefox、content-security-policy
我对firefox中的内容安全策略有问题。这是我的基本代码:
<?php include_once 'corepolicies/csp.php'; ?>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<script src="http://code.jquery.com/jquery-1
浏览 3提问于2013-07-26得票数 0
1回答
我可以在同一个脚本-scr中同时使用“不安全-内联”和“不安全-eval”,还是需要添加一个新脚本-scr?
javascript、reactjs、gatsby、content-security-policy、gatsby-plugin
我正在使用,并想了解是否可以在同一个脚本-scr中添加两个关键字,即“不安全-内联”和“不安全-eval”,并使它们工作?还是我需要创建两个不同的脚本-scr?我必须使用几个源代码,其中一些是需要eval()的,另一些则是内联脚本。
我能做这个吗?
// In your gatsby-config.js
module.exports = {
plugins: [
{
resolve: `gatsby-plugin-csp`,
options: {
disableOnDev: true,
reportOnly: false, /
浏览 10提问于2022-06-09得票数 0
1回答
我的CSP策略大部分都在.htaccess中。如何在HTML页面标题中添加到它?
content-security-policy
我在.htaccess中的相关CSP是
Header always set Content-Security-Policy "upgrade-insecure-requests; \
default-src 'self'; \
img-src https: data:; \
object-src 'none'; \
script-src 'self' https://googletagmanager.com https://stackpath.bootstrapcdn.com; \
style-src 'sel
浏览 0提问于2022-07-14得票数 1
回答已采纳
2回答
使用sentry时忽略特定的CSP错误
javascript、firefox、firefox-addon、content-security-policy、sentry
我在我的站点中使用了基于散列的Sentry CSP(v2),以及script-src的report-uri。 最近我收到了很多CSP违规报告,特别是来自最新版本的Firefox (在撰写本文时是66版本),造成了很多噪音。 Recently Blocked 'script' from 'inline:' 在我自己的计算机上使用firefox安装进行测试时,我发现许多插件实际上将内联脚本注入到DOM中,从而触发了CSP错误。 可以通过CSP规则忽略/缓解此问题,或者我可以通过sdk或仪表板设置以某种方式忽略所有这些firefox条目?
浏览 90提问于2019-05-14得票数 1
1回答
内容-安全性-策略: Google、Firefox和Microsoft之间的区别
content-security-policy
我是新的内容-安全-策略头,我一直试图定义我们的策略,以使我们的应用程序正确工作。
我是谷歌Chrome的用户,在Google Chrome下,一切似乎都很好。但是,在Firefox或Edge下,我看到了这样的情况:
CSP14309:在内容-安全性-策略-指令中未知指令‘script-src’将被忽略。
为什么script-src-elem在边缘和火狐中不为人所知,而在Google中却能正确工作?
确切地说,script-src-elem是什么
帮助?
浏览 13提问于2019-12-02得票数 5
回答已采纳
1回答
外部脚本哈希与‘严格-动态’需要“完整性”属性的脚本标签?
javascript、content-security-policy
我正在处理一个站点的,特别是关键字。
我的有两个文件:
index.html:
<!DOCTYPE html>
<html>
<head>
<meta name="viewport" content="width=device-width,initial-scale=1.0,maximum-scale=1,user-scalable=yes" />
<meta charset="UTF-8" />
<title>csp-test</title
浏览 8提问于2020-11-23得票数 0
回答已采纳
1回答
rails允许使用frame_ancestors内容安全策略或X帧选项将您的网站嵌入其他站点。
ruby-on-rails、google-chrome、iframe、content-security-policy、x-frame-options
我试图让其他人嵌入我的rails应用程序的网页在许多网站上。我可以让它在Chrome和Firefox中使用X框架选项。是否有等效的response.headers['X-Frame-Options'] = "ALLOW-FROM *"内容安全策略?
以下是使用X帧选项的位
class PeopleController < ApplicationController
def embed
response.headers['X-Frame-Options'] = "ALLOW-FROM *"
@company
浏览 2提问于2021-05-16得票数 0
回答已采纳
2回答
AngularJS在铬扩展中使用eval
angularjs、google-chrome-extension、eval
lates AngularJS (1.3beta 19)使用eval。这是禁止在铬的退出。
如何修复问题
错误消息:
拒绝将字符串计算为JavaScript,因为在以下内容安全策略指令中,‘不安全-eval’是不允许的脚本源:" script -src 'self‘chrome扩展-resource:“。
堆栈跟踪:
angular.js:1011
csp angular.js:1011
(anonymous function) angular.js:23556
更新:参见ng-csp 的文档
过时了:看起来AngularJS无法在chrome扩展中检测到CSP。使用显
浏览 3提问于2014-08-26得票数 1
回答已采纳
1回答
内容安全策略正在阻止Firefox中的svg图标sprite
apache、svg、firefox、content-security-policy
我试过搜索网页,但没有运气。我一直在使用Chrome/Edge在我的网站上工作,今天我尝试在Firefox (93.0)中打开它,我注意到我的图标都没有加载。此错误消息出现在控制台中:
内容安全策略:页面的设置阻止了在 (“default-src”)上加载资源。
这似乎表明默认的-src用作后盾。我正在使用这个CSP运行Apache服务器:
Header set Content-Security-Policy "default-src 'none'; img-src 'self'; object-src 'none'; scrip
浏览 1提问于2021-10-10得票数 1
回答已采纳
2回答
允许不安全的内联脚本是否辜负了CSP的目的?
content-security-policy
我正在回顾在我们的一个set服务器中设置的内容-安全性-策略头,我看到它是如何设置的(其中'example.com‘是我们信任的网站)。
内容-安全性-策略:默认-src 'self';脚本-src 'self‘数据:’不安全-内联‘’不安全-eval‘;img-src 'self’*.example.com;字体-src *;连接-src 'self‘*example.com“。
我的问题是:
( 1)白名单中的unsafe-inline和unsafe-eval难道不能打败整个CSP吗?
2)如果允许使用“不安全-内联”,或者如上面所示,有人可
浏览 0提问于2018-11-20得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
