Angular 未在中实施内容安全策略（CSP）_Angular_Security_Content Security Policy

Angular 未在中实施内容安全策略（CSP）

angular security

Angular 未在中实施内容安全策略（CSP）,angular,security,content-security-policy,Angular,Security,Content Security Policy,我已将CSP添加到标记内的index.html文件中，如下所示 <meta http-equiv="Content-Security-Policy" content=" script-src 'self'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.co

我已将CSP添加到

标记内的index.html文件中，如下所示

<meta
      http-equiv="Content-Security-Policy"
      content="
    script-src 'self';
    style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; 
    font-src 'self' https://fonts.gstatic.com;
    img-src 'self' data: https://www.gstatic.com/;"
    />

这是在AWS中部署的。有人知道这个问题的解决方法吗？

请尝试在头标签中添加这一行，并删除旧的

请尝试在头部标签中添加这一行，并删除旧的一行

有人知道这个问题的解决方法吗

安全团队不仅应显示漏洞，还应提供如何消除漏洞的建议。
因此，向您的安全团队询问几个问题：

他们想用

*.css

和

*.js

文件（分别是text/css和text/javascript MIME类型）实现哪些CSP规则

您的web应用程序使用

标记交付CSP。一些SPA根本无法使用CSP HTTP头。
问题是：您的安全团队假设如何在CSS/JS文件中使用

标记

请他们通过CSS/JS文件提供任何漏洞示例，这些漏洞可以通过随文件一起提供的CSP头解决

根据回答问题的结果，您可以决定解雇安全团队或对其进行再培训

一些“安全团队”的问题是，他们知道如何使用WAS扫描仪，但不知道如何解释其结果。因此，在收到带有“易受攻击”URL的消息“”后，他们不知道该怎么办

如果您是web app的负责人，请按照以下步骤操作：

从安全团队获取原始扫描报告

检查受损URL的状态代码-不存在/错误页面（403/404/5xxx/etc）易受XSS攻击。如果可能，修复此类错误页面，对于其他页面-检查服务器是否返回带有CSP标头的诊断HTML页面“未找到页面”/“页面不存在”

检查易受攻击URL的内容类型标头。CSP对于具有text/css和text/javasctirt MIME类型的文件是无用的（只有Firefox非标准地支持CSP用于工作人员的脚本文件）

承担责任并最终决定哪些扫描仪警告应该修复，哪些应该忽略

注1。如果

中的卡详细信息为首字母

https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/card-details-initial表示“银行卡”或某些敏感用户数据-在所有步骤中进行双重检查

注意2。避免通过服务器配置和应用程序内同时发布内容安全策略头（通过HTTP头或元标记）。同时使用两个CSP可能会使生成的CSP非常受限且不可预测