Javascript 允许所有内容安全策略?
是否可以将内容安全策略配置为完全不阻止任何内容?我正在运行一个计算机安全类,我们的网络黑客项目在较新版本的Chrome上遇到问题,因为没有任何CSP头,它会自动阻止某些XSS攻击。最好的方法是不应用任何策略 但要回答您的问题,“允许所有人”的政策可能是:Javascript 允许所有内容安全策略?,javascript,web,http-headers,xss,content-security-policy,Javascript,Web,Http Headers,Xss,Content Security Policy,是否可以将内容安全策略配置为完全不阻止任何内容?我正在运行一个计算机安全类,我们的网络黑客项目在较新版本的Chrome上遇到问题,因为没有任何CSP头,它会自动阻止某些XSS攻击。最好的方法是不应用任何策略 但要回答您的问题,“允许所有人”的政策可能是: default-src * 'unsafe-inline' 'unsafe-eval' data: blob:; 注意:未经测试它根本不安全,但作为起始点,实际允许所有策略是: default-src * 'unsafe-inline' '
default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;
注意:未经测试它根本不安全,但作为起始点,实际允许所有策略是:
default-src * 'unsafe-inline' 'unsafe-eval'; script-src * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline';
请参阅:和。对于仍希望获得更宽松帖子的人,因为其他答案不够宽松,他们必须与google chrome合作,
*default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic';
script-src * data: blob: 'unsafe-inline' 'unsafe-eval';
connect-src * data: blob: 'unsafe-inline';
img-src * data: blob: 'unsafe-inline';
frame-src * data: blob: ;
style-src * data: blob: 'unsafe-inline';
font-src * data: blob: 'unsafe-inline';
frame-ancestors * data: blob: 'unsafe-inline';
下面是允许CSP中所有内容的htaccess代码
Header add Content-Security-Policy "default-src * data: blob: filesystem: about: ws: wss: 'unsafe-inline' 'unsafe-eval' 'unsafe-dynamic'; script-src * data: blob: 'unsafe-inline' 'unsafe-eval'; connect-src * data: blob: 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src * data: blob: ; style-src * data: blob: 'unsafe-inline'; font-src * data: blob: 'unsafe-inline';"
不幸的是,在没有任何政策的情况下,Chrome主动添加了一些自己的XSS保护,因此没有任何保护实际上更糟糕。但是谢谢!Blob和数据丢失,示例:默认src*数据:Blob:“不安全内联”“不安全评估”;您错过了字体src:'不安全内联';库奥尔。保存我的时间对于一个允许内联但不允许来自任何主机的策略,通配符(*)可以更改为“self”。Chrome现在说它不知道并且将忽略
'safe-dynamic'