Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/429.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 如何实现多个内容安全策略和标题?_Javascript_Html_Security_Xss_Content Security Policy - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 如何实现多个内容安全策略和标题?

Javascript 如何实现多个内容安全策略和标题?

javascript html security

Javascript 如何实现多个内容安全策略和标题?,javascript,html,security,xss,content-security-policy,Javascript,Html,Security,Xss,Content Security Policy,我有一个与电子邮件相关的应用程序,我想通过附件阻止JavaScript中的警报。例如,我实现了以下CSP头: Header Set Content-Security-Policy "script-src http://192.168.0.1/trusted/ 'unsafe-inline' 'unsafe-eval';" 根据此策略,来自外部源的警报将被阻止,但如果我通过应用程序将HTML文档作为附件发送,则会执行诸如<script>alert123</script>'之类的代码。我

我有一个与电子邮件相关的应用程序,我想通过附件阻止JavaScript中的警报。例如,我实现了以下CSP头:

Header Set Content-Security-Policy "script-src http://192.168.0.1/trusted/ 'unsafe-inline' 'unsafe-eval';"
根据此策略,来自外部源的警报将被阻止,但如果我通过应用程序将HTML文档作为附件发送,则会执行诸如<script>alert123</script>'之类的代码。我无法更改代码并将所有JavaScript代码从HTML页面移动到另一个“.js”文件。这将是一个非常耗时的过程。 有没有办法解决这个问题?如果我实现了多个头,就会导致冲突

我也在考虑使用别名来允许来自另一个ip的可信代码,比如192.168.0.2/trusted/,但是这会有帮助吗

您可以将附件中的HTML显示在。它有以下优点:

沙盒本身减少了附件中任何恶意代码的影响, 您可以为iframe URL设置一个单独的CSP头,它不会影响外部HTML,您需要在外部HTML中允许内联代码。
非常感谢你。将测试并尝试实现“沙盒iframe”。