Angular 未在中实施内容安全策略(CSP)
我已将CSP添加到Angular 未在中实施内容安全策略(CSP),angular,security,content-security-policy,Angular,Security,Content Security Policy,我已将CSP添加到标记内的index.html文件中,如下所示 <meta http-equiv="Content-Security-Policy" content=" script-src 'self'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.co
标记内的index.html文件中,如下所示
<meta
http-equiv="Content-Security-Policy"
content="
script-src 'self';
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
font-src 'self' https://fonts.gstatic.com;
img-src 'self' data: https://www.gstatic.com/;"
/>
这是在AWS中部署的。有人知道这个问题的解决方法吗?请尝试在头标签中添加这一行,并删除旧的
请尝试在头部标签中添加这一行,并删除旧的一行
有人知道这个问题的解决方法吗
安全团队不仅应显示漏洞,还应提供如何消除漏洞的建议。因此,向您的安全团队询问几个问题:
*.css
和*.js
文件(分别是text/css和text/javascript MIME类型)实现哪些CSP规则
标记交付CSP。一些SPA根本无法使用CSP HTTP头。问题是:您的安全团队假设如何在CSS/JS文件中使用
标记
中的卡详细信息为首字母
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/card-details-initial表示“银行卡”或某些敏感用户数据-在所有步骤中进行双重检查
注意2。避免通过服务器配置和应用程序内同时发布内容安全策略头(通过HTTP头或元标记)。同时使用两个CSP可能会使生成的CSP非常受限且不可预测
有人知道这个问题的解决方法吗
安全团队不仅应显示漏洞,还应提供如何消除漏洞的建议。因此,向您的安全团队询问几个问题:
*.css
和*.js
文件(分别是text/css和text/javascript MIME类型)实现哪些CSP规则
标记交付CSP。一些SPA根本无法使用CSP HTTP头。问题是:您的安全团队假设如何在CSS/JS文件中使用
标记
中的卡详细信息为首字母
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/card-details-initial表示“银行卡”或某些敏感用户数据-在所有步骤中进行双重检查
注意2。避免通过服务器配置和应用程序内同时发布内容安全策略头(通过HTTP头或元标记)。同时使用两个CSP可能会使生成的CSP非常受限且不可预测
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/card-details-initial
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/mysql/main.3550f319f28ebd698940.js
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/oauth/styles.2b86afa3c6ac02c17f35.css
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/mysql/assets/images/app_logo/
https://XXXXXXXXXXXXXXXXXXXXXXXXXXX/PMA/main.3550f319f28ebd698940.js
...