2. 질의 응답
  3. 브라우저에서 메타 태그를 사용하지 않습니다. 콘텐츠 보안 정책

브라우저에서 메타 태그를 사용하지 않습니다. 콘텐츠 보안 정책

2016-12-27 1 views
0

로딩 시간을 개선하기 위해 일부 CDN을 통해 일부 CSS 및 스크립트를로드하려고하지만 콘텐츠 보안 정책 문제가 발생하지만 상당한 시간을 읽은 후 시도하고 있습니다. 다른 정책은 여전히 ​​내 같은 오류를주고있다. 브라우저에서 메타 태그를 사용하지 않습니다. 콘텐츠 보안 정책

현재 나의 정책은 다음과 같습니다 - 나는로드 할 수 있어야 내가 사이트 자체와 maxcdn에 대한 3 개의 URL EG에서 아무것도를로드 할 수 있음을 의미한다 나의 이해에서 
<meta http-equiv="Content-Security-Policy" content="default-src 'self' https://code.jquery.com/ https://cdnjs.cloudflare.com/ https://maxcdn.bootstrapcdn.com/">

https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js

나는 아주 간단하고 사용하지 말아야 할 정책을 시도했다.

<meta http-equiv="Content-Security-Policy" content="default-src *">

그러나 이것은 아무 것도 바뀌지 않았다.

내가 갖는 오류입니다 -

는 다음과 같은 콘텐츠 보안 정책 지침 위반 스크립트 ' https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js를'로드 거부 : "기본-SRC '자기'". 'script-src'는 명시 적으로 설정되지 않았으므로 'default-src'가 폴백으로 사용됩니다.

스크립트는 (내가이 작업을 진행 한 후 나는 가을의 백업을 할 것)로드하려고 -

<script type="text/javascript" src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js" 
     integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" 
     crossorigin="anonymous"></script>

내가 크롬 (55.0.2883.87) 및 에지에서 테스트 한합니다.

오류 메시지에서 내 정책을 따르지 않고 브라우저가 설정 한 기본 정책을 사용하는 것처럼 보입니까?

은 어떤 도움이 많이 주시면 감사하겠습니다 :)

출처

2016-12-27 Thomas James

답변

1

스크립트로드 난 당신이 귀하의 질문에 포함 된 메타 태그가 제공하는 CSP와 테스트 문제없이.

HTTP 헤더를 사용하여 충돌하는 CSP를 포함시켜 문제를 재현 할 수있었습니다.

실제 HTTP 헤더는 메타 태그보다 우선합니다.

문서 대신 서버 측 코드 또는 HTTP 서버 구성을 변경해야합니다.

출처

2016-12-27 13:19:37 Quentin

+0

감사합니다. @Quentin :) - asp 코어를 사용하므로 정책을 configure 메소드에 추가해야했습니다. 'app.Use (async (ctx, next) => { ctx.Response. Headers.Add ("Content-Security-Policy", "default-src 'self'https://code.jquery.com/ https://cdnjs.cloudflare.com/ https://maxcdn.bootstrapcdn.com/ "); 다음 기다림(); }); ' –

관련 문제

 관련 문제