展开

关键词

关于 Web Content-Security-Policy Directive 通过 meta 元素指定的一些测试用例

本文介绍一些基于 frame-src 这个 Directive 的各种测试用例。 csp html 里没有声明任何 csp 相关的 Directive(通过 meta 标签),则 iframe 工作正常: 测试1:3000 应用(即嵌入 3002 应用的 web 应用里)增加 frame-src 源代码: <html> <head> <meta http-equiv="Content-Security-Policy" content="<em>frame-src</em> 'self'" frame ‘http://localhost:3002/’ because it violates the following Content Security Policy directive: “frame-src iframe 加载失败: 测试2 <html> <head> <meta http-equiv="Content-Security-Policy" content="<em>frame-src</em>

8020

web安全 - CSP

unsafe-eval'来放行 content-src 限制连接的类型(例如XMLHttpRequest、WebSockets和EventSource) font-src 控制网络字体的来源 frame-src cdn.my.com; style-src http://cdn.my.com; img-src http://cdn.my.com; connect-src http://api.my.com; frame-src

72670
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    如何在vscode 背景配置一个动态小女孩

    content="default-src 'none'; img-src 'self' https: data: blob: vscode-remote-resource:; media-src 'none'; frame-src

    10540

    Bypass unsafe-inline mode CSP

    : 指令 说明 default-src 定义资源默认加载策略 connect-src 定义 Ajax、WebSocket 等加载策略 font-src 定义 Font 加载策略 frame-src n0tr00t.com 域下的 JS 资源: Content-Security-Policy: "script-src *.n0tr00t.com; style-src 'self'; img-src *; frame-src 'none'" X-Content-Security-Policy: "script-src *.n0tr00t.com; style-src 'self'; img-src *; frame-src 'none'" X-WebKit-CSP: "script-src *.n0tr00t.com; style-src 'self'; img-src *; frame-src 'none'"

    62040

    使用nginx部署网站

    frame-src 'self' 针对 frame 的加载策略。 : https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline'; frame-src : https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline'; frame-src pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline'; frame-src static.xiaohuochai.site; style-src 'self' 'unsafe-inline' https://static.xiaohuochai.site; frame-src

    89430

    Vscode个性化设置:让一个小萌妹陪你敲代码

    content="default-src 'none'; img-src 'self' https: data: blob: vscode-remote-resource:; media-src 'none'; frame-src content="default-src 'none'; img-src 'self' https: data: blob: vscode-remote-resource:; media-src 'none'; frame-src content="default-src 'none'; img-src 'self' https: data: blob: vscode-remote-resource:; media-src 'none'; frame-src

    19110

    CSP——前端安全第一道防线

    如果开发者希望管控内嵌浏览器内容和 workers,那么应分别使用 frame-src 和 worker-src 指令,而不是child-src。 frame-src: 限制通过类似 frame 和 iframe 标签加载的内嵌内容源。

    68030

    nextcloud-onlyoffice-反向代理https错误排查

    onlyoffice.stackoverflow.club/' because it violates the following Content Security Policy directive: "frame-src

    2.3K20

    如何优雅的处理CSP问题

    媒体文件(音频和视频) font-src:字体文件 object-src:插件(比如 Flash) child-src:框架 frame-ancestors:嵌入的外部资源(比如frame和iframe) frame-src

    5.6K41

    挖洞经验 | 综合三个Bug实现Discord桌面应用RCE漏洞

    后续,我无法查看到Discord应用相关的iframe嵌入功能说明文档,就只好在其CSP frame-src 指令中寻找线索,发现其采用了以下CSP策略: Content-Security-Policy : [...] ; frame-src https://*.you-tube.com https://*.twitch.tv https://open.spotify.com https://w.soundcloud.com

    75530

    onlyoffice 反向代理实现https错误排查

    onlyoffice.stackoverflow.club/' because it violates the following Content Security Policy directive: "frame-src

    2.6K60

    API 网关的安全

    font-src assets-cdn.github.com;form-action 'self' github.com gist.github.com;frame-ancestors 'none';frame-src

    91650

    Google Chrome浏览器漏洞使数十亿用户遭受数据被盗风险

    在JavaScipt中增加 frame-src或者child-src指令,攻击者利用这种方式绕过CSP策略执行、绕过网站安全规则。

    19420

    CSP(Content Security Policy 内容安全策略)

    Web Font加载策略 object-src ‘self’ 定义\/\/\等标签引入的flash加载策略 media-src media.wufeifei.com 定义\/\等标签引入的多媒体加载策略 frame-src

    39440

    七种HTTP头部设置保护你的网站应用安全

    fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src

    49720

    CSP总结及CTF实例分析

    定义音频和视频的加载策略,如 HTML5 中的 <audio> <video> connect-src | 'self' | 定义 Ajax、WebSocket 等的加载策略 frame-src 比如上次 Pwnhub 蓝猫师傅出的一道题 `打开电脑`, CSP 是长这样的 Content-Security-Policy: default-src *; img-src * data: blob:; frame-src

    1.3K60

    使用 Wave 文件绕过 CSP 策略

    font-src 'self' https://fonts.gstatic.com; media-src 'self' blob:; script-src 'self'; object-src 'self'; frame-src

    47700

    嘿,前端的CSP & CSP如何落地,了解一下?

    通过随意设置响应头来测试CSP MDN文档 简单过一遍常见的指令 获取资源相关的指令 font-src frame-src img-src script-src media-src style-src

    25530

    打破 iframe 安全限制的 3 种方案

    allow-from www.example.com P.S.同源是指协议、域名、端口号都完全相同,见Same-origin policy P.S.另外,还有个与frame-ancestors长得很像的frame-src

    11.4K63

    扫码关注腾讯云开发者

    领取腾讯云代金券