搜索
搜索

内容安全策略警告

Mike Harrison 发表于 Dev
25
迈克·哈里森

我是 CSP 的新手,所以可能会出错,但这里是。我有一个用于菜单下拉菜单的小脚本,但是当我单击菜单按钮触发它时,我在控制台中收到警告。菜单执行它应该做的事情,所以脚本正在运行,但我不确定为什么会发生错误。

这是我的所有 HTML <body>

<div class="responsive-centered-nav">
  <a href="javascript:void(0)" class="nav-toggle">Menu</a>
  <nav>
    <ul>
      <li class="nav-item"><a href="#">Home</a></li>
      <li class="nav-item"><a href="#">About Us</a></li>
      <li class="nav-item"><a href="#">Services</a></li>
      <li class="nav-item"><a href="#">Pricing</a></li>
      <li class="nav-item"><a href="#">Contact</a></li>
    </ul>
  </nav>
</div>

<script src="https://ajax.googleapis.com/ajax/libs/webfont/1.6.26/webfont.js"></script>

<script src="/assets/js/main-min.js"></script>

这是所有内容/assets/js/main-min.js

document.addEventListener("DOMContentLoaded", function() {

  console.log("DOM fully loaded and parsed");

  var html = document.documentElement;
  html.classList.remove("no-js");
  html.classList.add("js");

  if (html.classList.contains("js")) {
    console.log("Javascript is enabled");
  }

  WebFont.load({
    google: {
      families: ['Merriweather:300,300i,700']
    }
  });

});

document.addEventListener('DOMContentLoaded', function() {
  // Set up some variables
  var navigation = document.querySelector('.js div.responsive-centered-nav nav');
  var toggleButton = document.querySelector('.js div.responsive-centered-nav a.nav-toggle');

  toggleButton.addEventListener('click', function(){
    navigation.classList.toggle('visible');
  });
});

这是我的 CSP,设置使用.htaccess

Header set Content-Security-Policy: "default-src 'none'; script-src 'self' https://ajax.googleapis.com; connect-src 'self'; img-src 'self'; style-src 'self' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; frame-ancestors 'none'"
Header set X-Frame-Options: "DENY"
Header set X-XSS-Protection: "1; mode=block"
Header set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

页面加载正常,控制台中没有错误。但是当我点击菜单切换时,我收到了这个控制台错误:

拒绝执行 JavaScript URL,因为它违反了以下内容安全策略指令:“script-src 'self' https://ajax.googleapis.com ”。启用内联执行需要“unsafe-inline”关键字、散列(“sha256-...”)或随机数(“nonce-...”)。

如果有人能发出一些光,那将是惊人的。您可以在此处查看正在运行的页面:

https://booster.mikeharrisondesign.com

昆汀 
href="javascript:void(0)"

您有一个 JavaScript 网址。您的 CSP 禁止这样做。不要那样做。

JavaScript URL 无论如何都很糟糕。链接应该链接到某个地方。如果您想要一个在点击时除了触发 JS 之外什么都不做的交互式元素:使用按钮。

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

内容安全策略停用

如何实施内容安全策略?

ACE.js的内容安全策略

Safari 内容安全策略支持

自身子域的内容安全策略

扩展和书签的内容安全策略

Symfony 3 - 内容安全策略

内容安全策略对象SRC Blob

XSS和内容安全策略

内容安全策略如何工作?

内容安全策略(CSP)如何工作?

内容安全策略如何工作?

捕获内容安全策略(CSP)错误

具有内容安全策略的reCAPTCHA

内容安全策略:default-src *

内容安全策略是否向前兼容?

内容安全策略:源数据

带通配符的内容安全策略

在onHeaders中编辑内容安全策略

如何“避免”内容安全策略?

内容安全策略+框架祖先

在 PhantomJS 中禁用内容安全策略

内容安全策略无效字符

在控制台中收到很多“内容安全策略”警告(Firefox)

HTML标头内容安全策略未向文件报告

使Angular使用限制性内容安全策略(CSP)

Internet Explorer的内容安全策略(CSP)解决方法

如何在 Android WebView 中禁用内容安全策略?

Safari 11.0.3无法识别内容安全策略哈希

TOP 榜单

  1. 1

    隐藏发件人没有短信PHP

  2. 2

    Hashchange事件侦听器在将事件处理程序附加到事件之前进行侦听

  3. 3

    在浏览器中请求URL时会发生什么?

  4. 4

    flask-admin 如何自定义删除按钮

  5. 5

    材质UI垂直滑块。如何改变在垂直材料UI滑块导轨的厚度(反应)

  6. 6

    用日期数据透视表和日期顺序查询

  7. 7

    Jqgrid:多级别组摘要

  8. 8

    java io ioexception无法解析服务器地址解析器的响应

  9. 9

    Swift如何使用Base64Url编码JWT标头和有效负载之类的json对象

  10. 10

    sshd AllowGroups组未授予访问权限

  11. 11

    jQuery无限滚动固定div中的滚动

  12. 12

    android 背部按下

  13. 13

    Flexbox CSS 对齐属性环境惰性?

  14. 14

    为什么随机森林中的平均降低基尼系数取决于人口规模?

  15. 15

    ClickHouse 创建临时表

  16. 16

    为什么PlusShare.Builder setRecipients方法不起作用?

  17. 17

    如何在Android中识别MICR代码

  18. 18

    PyQt4.QtCore模块无法向sip模块注册

  19. 19

    正则表达式,用于查找所有以任何字母开头和数字开头的文件

  20. 20

    是否可以通过编程方式对很多动画进行重新着色?

  21. 21

    机器密钥生成

热门标签

归档