Javascript 如何实现多个内容安全策略和标题?
我有一个与电子邮件相关的应用程序,我想通过附件阻止JavaScript中的警报。例如,我实现了以下CSP头:Javascript 如何实现多个内容安全策略和标题?,javascript,html,security,xss,content-security-policy,Javascript,Html,Security,Xss,Content Security Policy,我有一个与电子邮件相关的应用程序,我想通过附件阻止JavaScript中的警报。例如,我实现了以下CSP头: Header Set Content-Security-Policy "script-src http://192.168.0.1/trusted/ 'unsafe-inline' 'unsafe-eval';" 根据此策略,来自外部源的警报将被阻止,但如果我通过应用程序将HTML文档作为附件发送,则会执行诸如<script>alert123</script>'之类的代码。我
Header Set Content-Security-Policy "script-src http://192.168.0.1/trusted/ 'unsafe-inline' 'unsafe-eval';"
根据此策略,来自外部源的警报将被阻止,但如果我通过应用程序将HTML文档作为附件发送,则会执行诸如<script>alert123</script>'之类的代码。我无法更改代码并将所有JavaScript代码从HTML页面移动到另一个“.js”文件。这将是一个非常耗时的过程。
有没有办法解决这个问题?如果我实现了多个头,就会导致冲突
我也在考虑使用别名来允许来自另一个ip的可信代码,比如192.168.0.2/trusted/,但是这会有帮助吗 您可以将附件中的HTML显示在。它有以下优点: 沙盒本身减少了附件中任何恶意代码的影响, 您可以为iframe URL设置一个单独的CSP头,它不会影响外部HTML,您需要在外部HTML中允许内联代码。
非常感谢你。将测试并尝试实现“沙盒iframe”。