Warning: file_get_contents(/data/phpspider/zhask/data//catemap/6/apache/8.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Xss 标头集内容安全策略未正确处理多个域_Xss_Apache - Fatal编程技术网
Fatal编程技术网
  • xss/
  • Xss 标头集内容安全策略未正确处理多个域

Xss 标头集内容安全策略未正确处理多个域

apache

Xss 标头集内容安全策略未正确处理多个域,xss,apache,Xss,Apache,我正试图通过Apache设置以下指令来防止XSS攻击: Header set Content-Security-Policy "default-src 'self' code.jquery.com;" 只允许jquery.com CDN,这非常方便。 但是,该指令在Firefox中不断向我提供以下信息: 页面的设置阻止了资源的自加载 (“脚本src”) 这是一个格式错误 输入包含http:// 像这样: 一个有用的提示:如果需要,可以使用通配符*作为域名前缀 像这样:http://*.jque

我正试图通过Apache设置以下指令来防止XSS攻击:

Header set Content-Security-Policy "default-src 'self' code.jquery.com;"
只允许jquery.com CDN,这非常方便。 但是,该指令在Firefox中不断向我提供以下信息:

页面的设置阻止了资源的自加载 (“脚本src”)

这是一个格式错误
输入包含http://
像这样:
一个有用的提示:如果需要,可以使用通配符*作为域名前缀
像这样:http://*.jquery.com或*.jquery.com

我认为这不是一个好答案,我们可以继续读下去 即: 允许Google分析、Google AJAX CDN和相同来源 脚本src'self'ajax.googleapis.com

所以没有,只是域名

正确答案是-添加脚本src块: 标题集内容安全策略“默认src'self'code.jquery.com;脚本src'self'code.jquery.com;”