程序员经验分享-hwhale

头盔 CSP 无法正常工作?

2024-01-12

使用 Express 分发的 Vue SPA。

这是我在快递中的头盔代码

app.use(helmet.contentSecurityPolicy({
  directives: {
   defaultSrc: ["'self'"],
   styleSrc: ["'self'","'unsafe-inline'" ,'unpkg.com', 'cdn.jsdelivr.net', 
   'fonts.googleapis.com', 'use.fontawesome.com'],
   scriptSrc: ["'self'","'unsafe-inline'",'js.stripe.com'],
   frameSrc: ["'self'",'js.stripe.com'],
   fontSrc:["'self'",'fonts.googleapis.com','fonts.gstatic.com','use.fontawesome.com','cdn. joinhoney.com']
 }
}));

这样做不会在浏览器控制台中产生错误,但我的页面加载为空白,我是否遗漏了什么?

这是我尝试在 index.html 中导入的内容

<script src="https://js.stripe.com/v3/"></script>
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/[email protected] /cdn-cgi/l/email-protection/animate.min.css">
<link href="https://unpkg.com/vuetify/dist/vuetify.min.css" rel="stylesheet">
<link href='https://fonts.googleapis.com/css?family=Roboto:300,400,500,700%7CMaterial+Icons' rel="stylesheet">
<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.13/css/all.css" integrity="sha384-DNOHZ68U8hZfKXOrtjWvjxusGo9WQnrNx2sqG0tfsghAvtVlRW3tvkXWZh58N9jp" crossorigin="anonymous">

通过将“'unsafe-eval'”添加到我的 scriptSrc 解决了我的问题

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

nodejs

security

Express

contentsecuritypolicy

helmetjs

头盔 CSP 无法正常工作? 的相关文章

  • 除了用户名/密码之外的安全性?

    我有一个 Web 应用程序 其安全性要求高于普通 Web 应用程序 当任何用户访问域名时 他们都会看到两个文本字段 一个用户名字段和一个密码字段 如果他们输入有效的用户 密码 他们就可以访问 Web 应用程序 标准的东西 但是 我正在寻找超

  • 为什么此类方法中的“this”未定义?

    我试图搜索似乎整个互联网 但我仍然对我为微服务编写的 JS 类的问题感到烦恼 仍在学习中 因此 我尝试在实例化对象上调用类方法 根据我的知识和我的 我认为是错误的 单元测试 它应该可以工作 好吧 我将从我收到的错误开始 GET api us

  • Node Sequelize - “按原样”插入日期而不转换为 UTC

    我正在尝试运行一个简单的查询 例如 Insert into table somedate values 2018 06 11 23 59 00 但 Sequelize 将其执行为 Insert into table somedate val

  • 使用 Sequelize (NodeJS) 代替 * 指定特定字段

    好吧 我在 NodeJS 中有一个项目 我正在其中使用 Sequelize 来实现 MySQL ORM 这件事工作得非常好 但是我试图弄清楚是否有一种方法可以指定在查询的基础上返回哪些字段 或者是否有一种方法可以在某处执行 query 例如

  • 如何在 Sequelize 现有模型中添加列?

    我使用此命令添加了模型和迁移文件 node modules bin sequelize model generate name User attributes firstName string lastName string email s

  • 缓存消息discord.js

    我想做一些反应角色 但为此 我必须缓存机器人启动之前发送的消息 我尝试过channel messages fetch 但到目前为止还没有奏效 我当前的代码 client on messageReactionAdd async reactio

  • 错误:grid.mongo.GridStore不是构造函数,使用mongoose、Grid-fs-stream和grid multer存储

    我收到以下提到的错误 基本配置如下 我已经将文件上传到服务器上 我想下载它们但出现这些错误 我向 api files delete fileId 调用了 POST 请求 它应该调用路由并将文件返回给浏览器 而不是使用网格相关模块获取错误 M

  • Angularjs $http 似乎不理解响应中的“Set-Cookie”

    我有一个带有 Passport 模块的 Nodejs Express REST api 用于身份验证 登录方法 GET 在标头中返回一个 cookie 当我从 Chrome 调用它时 它工作正常 我的 cookie 已在我的浏览器中设置 但

  • Mongodb 以不区分大小写的方式排序

    我在 Nodejs express 中以 mongodb 作为数据库的一个项目中非常努力地构建 当我使用 sort 获取所有数据时 它以错误的方式返回数据 那么有没有办法按照我的预期得到正确的格式 如下所示 如果我们在数据库中有三个记录 i

  • 通过node.js的npm安装gulp会破坏windows

    我想在我的 Windows 机器上使用 gulp 它实际上工作得很好 除非我尝试使用创建的文件 例如推送到 github 或删除 然后它就崩溃了 因为文件路径太长 这似乎是一个相当常见的问题 https github com joyent

  • .NET 中安全身份的本地化

    我想在 NET 中实现一个用于服务 客户端通信的命名管道 并遇到了这段代码 http code msdn microsoft com windowsdesktop CSNamedPipeCommunication 33b2485c view

  • 何时从容器管理的安全性转向 Apache Shiro、Spring Security 等替代方案?

    我正在尝试保护使用 JSF2 0 构建的应用程序的安全 我很困惑人们什么时候会选择使用 Shiro Spring Security 或 owasp 的 esapi 等安全替代方案 而放弃容器管理的安全性 看过一些相关问题 https sta

  • npm install 的问题(Angular)

    今天我尝试创建一个新项目 所以我使用这个命令 ng new NAME style less 并在我的cmder中弹出错误和警告 所以我卸载了 Roaming npm 和 npm cache 中的节点和文件 然后我安装了node并再次下载cm

  • 在node.js 0.12.x中使用libuv函数

    我写了一个node js c 插件 在node js 0 10 x下可以成功编译 但是当迁移到0 12 x时 出现了一些错误 例如error C2065 uv work t undeclared identifier 我想知道我是否可以在0

  • 在express js中禁用http方法

    我正在我的 Express 应用程序上进行 nessus 测试 这是我得到的 基于每种方法的测试 HTTP 方法 ACL CHECKOUT COPY DELETE GET HEAD LOCK MERGE MKACTIVITY MKCOL 移

  • 在需要时初始化模块

    我有一个模块 里面有一些初始化代码 加载模块时应执行 init 目前我正在这样做 in the module exports init function config do it in main var mod require myModu

  • 让 Jest 全局设置和全局拆卸在 TypeScript 项目中工作

    我想运行一个在运行测试之前打开数据库连接的函数 全局设置 以及另一个在运行测试后关闭数据库连接的函数 全局拆卸 目前我有以下配置 包 json jest testEnvironment node globalSetup src jest g

  • 从 Flask 运行 NPM 构建

    我有一个 React 前端 我想在与我的 python 后端 API 相同的源上提供服务 我正在尝试使用 Flask 来实现此目的 但我遇到了 Flask 找不到我的静态文件的问题 我的前端构建是用生成的npm run build in s

  • 猫鼬中的数组过滤器

    将查询转换为节点 arrayfilter 在 mongoose 中工作的版本或者如何在节点应用程序中运行它们 db getCollection student update id ObjectId 5a377d62d21a3025a3c3a

  • Mysql加密/存储敏感数据,

    我的 PHP 网站有以下内容 启用 SSL 饼干 session set cookie params cookieParams lifetime cookieParams path cookieParams domain secure ht

随机推荐

  • 会话/实体管理器已关闭

    我有这个 Hibernate dao 在我的本地机器上测试时它运行良好 但对于某些交易它会抛出IllegalStateException 我相信这是因为多个用户同时点击它 我可能是错的 更新支付道 Repository public cla

  • 修改PIN中的申请指令

    我正在使用英特尔 PIN 来修改我的应用程序中的指令 我使用此链接中的 Safecopy 示例作为参考 https software intel com sites landingpage pintool docs 81205 Pin ht

  • Prolog列表有未实例化的尾部,需要去掉它

    我正在开发 Prolog 程序 它产生正确的输出 一个列表 但该列表末尾有一个未实例化的变量 我做错了事 并且不知道如何摆脱它 这是代码 plaatsingen plaatsingen Prod Hoev Rest Order Plaats

  • 使用 awk sed 解析更新 puppet 文件

    我有一个包含多行代码的木偶文件 其中有一个部分如下所示 defaultrepo myrepo defaultbranch mybranch gitmod pullstuff othergitcode gitcommit gt b54123b

  • 为什么 C++20 中 unique_ptr 不是 equal_comparable_with nullptr_t ?

    使用 C 20concept我注意到std unique ptr似乎无法满足std equality comparable with

  • 转置 data.table

    数据计算结束后有效转换 data table 的好方法是什么 nrow 500e3 ncol 2000 m lt matrix rnorm nrow ncol nrow nrow colnames m lt c foo seq ncol 1

  • 还原并反应不需要的效果

    大家好 我正在尝试使用 redux 来制作购物车功能 2 问题描述 问题是 一旦我想从我的购物篮中删除不是最后一个的产品 Redux 确实从商店中删除了所需的产品 但在前端我仍然可以看到该产品 并且 React 会从列表中删除最后一个产品

  • 用于语义相似性的 BERT 嵌入

    我之前发布过这个question https stackoverflow com questions 60767089 bert get sentence level embedding after fine tuning 我想获得与此类似

  • 为什么要使用 Mockito? [关闭]

    Closed 这个问题需要多问focused help closed questions 目前不接受答案 我是 Mockito 的新手 我已经开始学习它了 但我有一些问题 为什么我们需要使用 Mockito 据我所知 它用于模拟 创建虚拟对

  • 我可以指望这个 ASP.NET 事件日志源始终被注册吗?

    未处理的异常导致基于 ASP NET 的应用程序在 NET Framework 2 0 中意外退出 http support microsoft com id 911816让我认为使用以下约定命名的事件日志源将始终在安装了 NET Fram

  • Spring 与 Spring Boot 集成 SFTP 示例

    我们正在为 Spring 应用程序使用最新的 Spring Boot 并为 SFTP 使用最新的 Spring Integration 我访问过 Spring Integration SFTP 文档站点 并按原样采用了 Spring Boo

  • Thread.sleep() 永远不会返回

    我有一个奇怪的错误Thread sleep 关于Java 由于某种原因 当我在某些机器上调用 sleep 时 它永远不会返回 我无法弄清楚是什么导致了这种行为 起初 我认为错误可能在我的代码中的其他地方 所以我做了最简单的睡眠测试 publ

  • 卡托皮县的县边界

    如何在 Cartopy 中绘制美国县边界 绘制州和国家边界非常简单 ax add feature cfeature BORDERS with scale 50m ax add feature cfeature STATES with sca

  • CakePHP 会话 ID 路径或其他共享 url 结果的方法 - 欢迎推荐

    我正在寻找有关合理的 Cake 方法的建议 以创建基于会话 id 的 url 我可以与其他人共享该 URL 以查看与我所看到的相同的搜索结果 我知道在标准 php 中 我只需获取会话 id 并将其传递给 url 但我猜测 Cake 可能有一

  • javascript选择输入事件

    我正在尝试从 javascript 创建一个选择输入 并在用户更改选项时绑定一个函数 到目前为止我有 filter change function console log CHANGED 但选择其他东西后什么也不会发生 这段代码有什么问题

  • 为什么 PHP 开发人员无法根据线程范围提供 setlocale 函数

    We have 设置语言环境 http php net manual en function setlocale phpPHP 中的函数 该函数有警告信息 区域设置信息是按进程维护的 而不是按线程维护的 如果您在多线程服务器 API 例如

  • 如何阻止任何滑块向 URL 添加主题标签

    任何滑块都会添加哈希标签 例如 panel1 1在网址末尾 I tried hashtags false但它不起作用 有没有其他方法可以阻止它生成这些主题标签 尝试将其更改为hashTags false 注意标签中的大写 T

  • 如何使用 podfile 中的源?

    我是ios开发新手 由于某种原因 我需要为我的 Cordova 应用程序手动设置 podfile 有GoogleCloudMessaging and GGLInstanceID在我的podfile中 现在我想安装一个brightcove视频

  • 用于多重虚拟继承和类型转换的虚拟表和虚拟指针

    我对 vptr 和内存中对象的表示有点困惑 希望你能帮助我更好地理解这个问题 考虑B继承自A并且都定义了虚函数f 据我所知 B类对象在内存中的表示如下 vptr A B 和vtbl that vptr指向包含B f 我还了解到从B to A

  • 头盔 CSP 无法正常工作?

    使用 Express 分发的 Vue SPA 这是我在快递中的头盔代码 app use helmet contentSecurityPolicy directives defaultSrc self styleSrc self unsafe

热门标签