Javascript 如何在Vue.js应用程序中设置内容安全策略头_Javascript_Html_Vue.js_Http Headers_Content Security Policy

Javascript 如何在Vue.js应用程序中设置内容安全策略头

javascript html vue.js

Javascript 如何在Vue.js应用程序中设置内容安全策略头,javascript,html,vue.js,http-headers,content-security-policy,Javascript,Html,Vue.js,Http Headers,Content Security Policy,我正试图通过消除点击劫持来确保我的Vue应用程序的安全我不知道如何设置Vue服务器的头、方法以及元标记中的X帧或帧祖先指令，如： <meta http-equiv="Content-Security-Policy" content="X-Frame-Options: DENY:" /> 但是，下面的链接说这是不受支持的我意识到，对于API请求，这些标题应该在后端设置，但是，这是为了加载应用程序的主页（没有API请求）

我正试图通过消除点击劫持来确保我的Vue应用程序的安全

我不知道如何设置Vue服务器的头、方法以及元标记中的X帧或帧祖先指令，如：

   <meta http-equiv="Content-Security-Policy" content="X-Frame-Options: DENY:"
    />

但是，下面的链接说这是不受支持的

我意识到，对于API请求，这些标题应该在后端设置，但是，这是为了加载应用程序的主页（没有API请求）

如何在我的Vue.js服务器中设置这些标题

应用程序的主页仍然通过HTTP加载

浏览器发出HTTP请求以获取HTML文档。该HTML文档包含

元素，这些元素导致浏览器获取一些JS。浏览器运行一些JS并使用它修改Vue应用程序中的HTML文档

您应该将

X-Frame-Options

和

Content-Security Policy

配置为HTTP响应头中提供的响应，该响应传递引导应用程序的初始HTML文档

不太好的方法是使用

标记（在同一HTML文档中）设置CSP。您不能这样设置

X-Frame-Options

。

在Vue服务器中如何配置X-Frame-Options？因为Vue服务器仅用于开发目的，这并不重要。如何在生产服务器上配置HTTP头取决于您正在运行的服务器软件。我的安装程序使用Vue、Django和Nginx。这可以在Nginx中设置吗？可能。不过这是你的设置。