[Решено] Отсутствует заголовок «Content-Security-Policy»
1. Функция
CSP, что означает политику безопасности контента, снижает количество атак на гетерогенные файлы, устанавливая ограничения для указания доверенных источников контента, таких как: js/css/image и т. д.
2. Соответствующие значения настроек
имя команды | demo | иллюстрировать |
|---|---|---|
default-src | 'self' cdn.example.com | Политика по умолчанию может применяться ко всем видам доступа, таким как запросы js-файлов/изображений/css/ajax. |
script-src | 'self' js.example.com | Определить стратегию фильтрации для js-файлов |
style-src | 'self' css.example.com | Определить стратегии фильтрации для CSS-файлов |
img-src | 'self' img.example.com | Определите стратегии фильтрации для файлов изображений |
connect-src | 'self' | Определите политику фильтрации для запроса файлов подключения. |
font-src | font.example.com | Определить политику фильтрации для файлов шрифтов |
object-src | 'self' | Определите стратегию фильтрации плагина страницы, например: <object>, <embed> или<applet>и другие элементы |
media-src | media.example.com | Определите стратегии фильтрации мультимедиа, такие как HTML6 <audio>, <video>и другие элементы |
frame-src | 'self' | Определить стратегию загрузки подкадров |
sandbox | allow-forms allow-scripts | Режим «песочницы» предотвратит выполнение всплывающих окон страниц/js и т. д. Вы можете добавить разрешения-формы, разрешения того же происхождения, разрешения-скрипты, разрешенные всплывающие окна, разрешенные модальные окна, разрешенная ориентация-блокировка, разрешенная-указатель-блокировка, разрешенная - презентация, стратегии разрешения всплывающих окон для выхода из песочницы и разрешения верхней навигации для разрешения соответствующих операций. |
report-uri | /some-report-uri |
3. Пример:
default-src 'self' разрешает использовать только ресурсы одного и того же источника;
script-src 'self'; разрешает js только одного и того же источника
script-src 'self' www.google-analytics.com ajax.googleapis.com позволяет загружать js из одного и того же источника и двух адресов;
default-src 'none'; connect-src 'self'; style-src 'self'; При наличии нескольких ресурсов более поздние перезапишут предыдущие.
4. Добавьте в файл конфигурации nginx, например:
add_header Content-Security-Policy "default-src 'self'"; Разрешены только ресурсы одного и того же источника.
add_header Content-Security-Policy «upgrade-insecure-requests;content *» автоматически меняет внутреннюю http-ссылку этого сайта на https, не ограничивая источник загрузки контента.
Углубленный анализ переполнения памяти CUDA: OutOfMemoryError: CUDA не хватает памяти. Попыталась выделить 3,21 Ги Б (GPU 0; всего 8,00 Ги Б).
[Решено] ошибка установки conda. Среда решения: не удалось выполнить первоначальное зависание. Повторная попытка с помощью файла (графическое руководство).
Прочитайте нейросетевую модель Трансформера в одной статье
.ART Теплые зимние предложения уже открыты
Сравнительная таблица описания кодов ошибок Amap
Уведомление о последних правилах Points Mall в декабре 2022 года.
Даже новички могут быстро приступить к работе с легким сервером приложений.
Взгляд на RSAC 2024|Защита конфиденциальности в эпоху больших моделей
Вы используете ИИ каждый день и до сих пор не знаете, как ИИ дает обратную связь? Одна статья для понимания реализации в коде Python общих функций потерь генеративных моделей + анализ принципов расчета.
Используйте (внутренний) почтовый ящик для образовательных учреждений, чтобы использовать Microsoft Family Bucket (1T дискового пространства на одном диске и версию Office 365 для образовательных учреждений)
Руководство по началу работы с оперативным проектом (7) Практическое сочетание оперативного письма — оперативного письма на основе интеллектуальной системы вопросов и ответов службы поддержки клиентов
[docker] Версия сервера «Чтение 3» — создайте свою собственную программу чтения веб-текста
Обзор Cloud-init и этапы создания в рамках PVE
Корпоративные пользователи используют пакет регистрационных ресурсов для регистрации ICP для веб-сайта и активации оплаты WeChat H5 (с кодом платежного узла версии API V3)
Подробное объяснение таких показателей производительности с высоким уровнем параллелизма, как QPS, TPS, RT и пропускная способность.
Удачи в конкурсе Python Essay Challenge, станьте первым, кто испытает новую функцию сообщества [Запускать блоки кода онлайн] и выиграйте множество изысканных подарков!
[Техническая посадка травы] Кровавая рвота и отделка позволяют вам необычным образом ощипывать гусиные перья! Не распространяйте информацию! ! !
[Официальное ограниченное по времени мероприятие] Сейчас ноябрь, напишите и получите приз
Прочтите это в одной статье: Учебник для няни по созданию сервера Huanshou Parlu на базе CVM-сервера.
Cloud Native | Что такое CRD (настраиваемые определения ресурсов) в K8s?
Как использовать Cloudflare CDN для настройки узла (CF самостоятельно выбирает IP) Гонконг, Китай/Азия узел/сводка и рекомендации внутреннего высокоскоростного IP-сегмента
Дополнительные правила вознаграждения амбассадоров акции в марте 2023 г.
Можно ли открыть частный сервер Phantom Beast Palu одним щелчком мыши? Супер простой урок для начинающих! (Прилагается метод обновления сервера)
[Играйте с Phantom Beast Palu] Обновите игровой сервер Phantom Beast Pallu одним щелчком мыши
Maotouhu делится: последний доступный внутри страны адрес склада исходного образа Docker 2024 года (обновлено 1 декабря)
Кодирование Base64 в MultipartFile
5 точек расширения SpringBoot, супер практично!
Глубокое понимание сопоставления индексов Elasticsearch.
15 рекомендуемых платформ разработки с нулевым кодом корпоративного уровня. Всегда найдется та, которая вам понравится.
