内容安全策略拒绝列出白名单

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了内容安全策略拒绝列出白名单相关的知识,希望对你有一定的参考价值。

我在CSP标题上将youtube API域列入白名单,但它仍然拒绝该脚本。

CSP标题

default-src 'self'; script-src 'self' https://youtube.com/iframe_api s.ytimg.com; style-src 'self' ; img-src 'self' https://i.ytimg.com; font-src 'self'; connect-src 'self'; media-src 'self'; object-src 'none' ; child-src 'none' ; frame-src https://wwww.youtube.com ; worker-src 'self' ; frame-ancestors 'none' ; form-action 'self' ; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox allow-scripts allow-same-origin; reflected-xss block; manifest-src 'self' ; referrer no-referrer;

错误

Refused to load the script 'https://www.youtube.com/iframe_api' because it violates the following Content Security Policy directive: "script-src 'self' https://youtube.com/iframe_api s.ytimg.com".
答案

通过使用strict-dynamic和使用nonce解决了这个问题

以上是关于内容安全策略拒绝列出白名单的主要内容,如果未能解决你的问题,请参考以下文章

如何将类型添加到 GWT 的序列化策略白名单?

phonegap 应用错误白名单拒绝:url='http://xyz.com'

深信服防火墙mac白名单

Phonegap - iphone中的白名单拒绝

Web 安全之内容安全策略(Content-Security-Policy,CSP)详解

使用/etc/hosts.allow和/etc/hosts.deny设置SSH白(黑)名单