将 google 字体 (fonts.googleapis.com) 添加到 CSP 标头

2024-02-18

我在 gitHub 页面上托管一个个人项目，并使用 cloudflare 强制执行 https。现在我想实施 CSP 政策。

我尝试将元标记添加到页面的头部：

<meta HTTP-EQUIV='Content-Security-Policy' CONTENT="default-src 'self' *.fonts.googleapis.com/* *.cloudflare.com/* *.fonts.googleapis.com/*;">

但我收到以下错误：

拒绝加载样式表 'https://fonts.googleapis.com/icon?family=Material+Icons https://fonts.googleapis.com/icon?family=Material+Icons' 因为它违反以下内容安全策略指令：“default-src '自己'.fonts.googleapis.com/ .cloudflare.com/ .fonts.googleapis.com/”。请注意，未显式设置“style-src”，因此使用“default-src”作为后备。

这是我包含的脚本：

  <link href="https://fonts.googleapis.com/icon?family=Material+Icons"
        rel="stylesheet">
  <link href="https://fonts.googleapis.com/css?family=Noto+Sans|Roboto" rel="stylesheet">

不会设置*.fonts.googleapis.com/*允许页面中的所有内容？

由于这是我第一次设置 CSP，这是为 github 页面设置 CSP 的正确方法吗？我还没有找到任何关于此的读物。

设置 *.fonts.googleapis.com/* 是否不允许页面中的所有内容？

虽然这很直观，但答案是no.

看看还不错的HTML5rocks 内容安全策略简介 https://www.html5rocks.com/en/tutorials/security/content-security-policy/关于通配符的主题（部分实施细节 https://www.html5rocks.com/en/tutorials/security/content-security-policy/#implementation-details):

接受通配符，但仅作为方案、端口或主机名的最左边位置： *://*.example.com:* 将匹配 example.com 的所有子域（但不是 example.com 本身），在任何端口上使用任何方案。

因此，这两种字体的工作 CSP 可能如下所示：

<meta http-equiv="Content-Security-Policy" content="default-src 'self' https://fonts.googleapis.com/ https://fonts.gstatic.com/ 'unsafe-inline';">

注1：最好使用相应的CSP 指令 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy#Directives。在你的情况下，你应该使用font-src and style-src像这样：

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; font-src 'self' https://fonts.gstatic.com/; style-src 'self' https://fonts.googleapis.com/ 'unsafe-inline';">

使用相应指令的优点是您的 CSP 现在变得非常严格。例如，你不允许'unsafe-inline'不再需要脚本源。这意味着现在禁止内联 JavaScript。也禁止从以下位置加载脚本https://fonts.gstatic.com/ https://fonts.gstatic.com/，这是之前允许的。等等...

注意2：你可以去掉'unsafe-inline'通过使用哈希或随机数来完全关键字。我无法在这个例子中完成这项工作，但如果您有兴趣，请看一下HTML5rocks 简介 https://www.html5rocks.com/en/tutorials/security/content-security-policy/#if-you-absolutely-must-use-it again.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

html

contentsecuritypolicy

将 google 字体 (fonts.googleapis.com) 添加到 CSP 标头的相关文章

如何使用 iText 将 HTML 转换为 PDF [重复]

这个问题在这里已经有答案了 import java io File import java io FileOutputStream import java io OutputStream import com itextpdf text D
如何只显示 HTML5 datalist 中的文本而不显示值？

这是一个例子
有没有办法在 Blazor 中隐藏 div？

我正在使用 Blazor 并且想在按下导航栏切换器图标时隐藏侧边栏列表项崩溃了但问题是 div 仍然存在 div class page div class sidebar div class nav top row pl 4 navba
Angular 8 - 删除 ng-component 标签 - 表行模板

我有一个灵活的表格组件有两种模式普通表有效自定义行模板这不是因为角度添加
浮动的垂直对齐方式：左div的

我有大约 10 个宽度相等但高度不同的 div 我希望它们尽可能紧密地组合在一起当设置为向左浮动时它们不会垂直彼此对齐而是与上面行的底部对齐我在下面模拟了一个小例子想要去掉空白你有什么建议吗我仅限于使用这种格式因为内容是
如何向 hr 标签添加一些文本？

我试图在 hr 标签末尾添加一些文本但到目前为止我还没有设法让它正常工作我期待有一行顶部有一些文字到最后你可以在这里看到我的小提琴http jsfiddle net 2BHYr http jsfiddle net 2BHYr Edi
CSS - 显示：无；不工作

我正在尝试开发一个移动样式表在这个样式表中我想删除一个特定的 div 在div的HTML代码中我放置了一个名为 tfl 的id 如下所示 div style display block width 187px height 260px
使用lxml解析HTML时如何保留名称空间信息？

gt gt gt from lxml etree import HTML tostring gt gt gt tostring HTML
如何让 CSS3 渐变跨越整个页面的高度，而不仅仅是视口？

我有一个跨浏览器的 CSS 渐变如下所示 background background 1E5799 old browsers background moz linear gradient top 002c5a 0 79d6f4 100 f
Openlayers3：中止绘制交互

我在 html 中使用绘制交互来手动绘制路线 manual route creation event createRoute click function remove previous interactions map removeInt
使用 jQuery/JavaScript 提醒特殊字符

如何在 Javascript jQuery 警报中显示带有特殊字符例如的字符串例如我想显示一个消息框价格为 10 欧元但是当我使用下面的代码时 alert The Price is euro 10 消息框中显示的输出是 The
Flask 无法播放 html 中的视频

我有一个 Flask 应用程序应该在加载页面时播放视频但它只显示在左上角并且不会从视频的第一帧开始改变我已经尝试将其插入 html 代码但它不起作用 extends base html block content
Fabric JS html 5 图像弯曲选项

我想用html5工具制作图像曲线我使用 Fabric js 作为 html5 画布工具请指导我如何在杯子玻璃圆柱形或圆形产品等图像上制作弯曲图像参考号图片如下 http vsdemo cwwws com Images Produc
jQuery 函数在不应该运行的时候运行

我有一个函数仅当宽度小于特定值时才需要运行我已经这样做了if window width lt n 但当宽度大于 n 时该函数也会运行 The if if window width lt n 由于背景颜色发生变化浅灰色 1000px
如何通过 JavaScript 设置输入值？

我有 id txt1 的输入字段但我无法从 JavaScript 更改该值
使用rvest或httr登录网页上的非标准表单

我正在尝试使用 rvest 来抓取需要在表单上输入电子邮件密码登录的网页 rm list ls library rvest Trying to sign into a form using email password url lt ht
将背景图像保留在底部

我一直在研究将图像保留在底部页面的解决方案我目前得到的代码是 footer background image url images footer png background repeat repeat x position absolu
如何访问打字稿中的组件

我有一个基本的 Angular 应用程序如下所示 app component html h1 Test Umgebung h1 div div
仅使用 url 嵌入视频

给定一个 youtube url 我如何使用 net c 将视频嵌入到页面中只需添加如下一行将 autoplay 设置为 0 或 1 取决于您是否希望人们真正留在您的页面上
鼠标悬停在图像上显示 x

我想在图像上显示 X 标记尺寸为 24x24 为此我采用 li 元素和 in 元素 li style display inline block background 283038 border 1px solid 161b1f margi

随机推荐

JavaScript - 替换字符串中的方括号

我有一个简单的字符串并尝试转换样本 to sample 例如 var string Completely engineer client based strategic theme areas before cross media tec
任何人都有一些用于 ASP.NET MVC 的下拉日期选择器

有人知道我在哪里可以找到 html 帮助器或将生成由 3 个下拉列表组成的日期选择器的东西吗这是我的小帮手我相信这本身就是解释性的可以调整以安排下拉列表的顺序月日年或日月年如果您使用的是 NET 4 则可以为名称添加默认
如何将 jQuery 元素选择应用于字符串变量

我将一些 html 提取到字符串 var 然后想在该字符串上使用 jQuery 元素选择这可能吗例如 HTML div class message This is a message Click a class link href ex
将行计数传递给 Oracle 中的列[重复]

这个问题在这里已经有答案了我有一张没有 ID 的桌子所以我想添加一个新列其总行数为 1 我在表中打开了一个新列但我不知道如何用行数填充它我在互联网上搜索但找不到解决我的问题的解决方案你能告诉我该怎么做吗提前致谢您可以执行此
仅在行尾显示为菱形问号的字符（Python>文本）

我正在开发一个 Python 文件该文件输入一个包含日语字符 UTF 8 的文本文件获取一些文本并将其写入一个新的 UTF 8 文本文件我遇到的问题是由于某种原因每当日语字符出现在原始输入文件中的行尾时它就会在输出文件中显示
jQuery UI 滑块与光滑轮播的干扰

拖动手势干扰了 jQuery UI 中的滑块和光滑的轮播插件 http kenwheeler github io slick 也是 jQuery 看我的例子here http jsfiddle net 65wtmyrb 1 HTML div
当页面滚动并有某个位置时执行某些操作

我在页面滚动方面遇到了一些问题当我向下滚动页面并且窗口距顶部位置 100px 时我想更改一些 css 这是我的代码非常感谢您的帮助 document ready function window scroll function if w
使用 XAML 和 C# 为 Windows Phone 8 应用程序设置计时器

我正在开发 Windows Phone 8 游戏应用程序我需要将倒计时功能添加到我的应用程序中就像应用程序启动时一样定时器值显示 60 59 58 0 当 0 到达时显示消息超时我在谷歌搜索但我不知道可能是我没有以正确的方式搜索
Kibana - 如何导出搜索结果

我们最近将集中式日志记录从 Splunk 转移到 ELK 解决方案并且我们需要导出搜索结果有没有办法在 Kibana 4 1 中做到这一点如果有的话也不是很明显 Thanks 这是一个旧帖子但我认为仍然有人仍在寻找一个好的答案您
python2 与 python3 中的地图[重复]

这个问题在这里已经有答案了我是一个初学者 python 用户我在 python2 7 和 python3 4 3 上运行了以下代码 import matplotlib pyplot as plt import numpy as np i
WPF 文本块，文本属性中的换行符

有没有办法拥有 n在 a 中换行TextBlock
如何创建文件并从 html 页面附加数据？

我的桌面上有一个 html 文件需要一些输入我将如何将该输入写入计算机上的文件中我是否必须使用另一种语言来执行此操作即 python 或 javascript 以及我将如何执行此操作相关说明有什么方法可以让 javascript
wordpress is_home() || is_index() 可能吗？

我在 header php 中有一个测试看看我们是否在家显示英雄 div class inner clearfix div 但是当用户登陆index php时英雄并没有被显示显然没有 is index 条件有谁知道我如何测试它的主页
如何使用 Json.Net (newtonsoft) 连接两个 Json 对象[重复]

这个问题在这里已经有答案了我想将一些 JSON 对象连接成一个 JSON 对象如何使用 NewtonSoft 的 JSON 包来做到这一点 Use JContainer Merge 将 JSON 对象组合在一起的逻辑相当简单名称值被
在哪里可以找到 Perl 编程语言的形式语法？

我知道 Perl 语法是不明确的并且它的消歧是不平凡的有时涉及在编译阶段执行代码 http www modernperlbooks com mt 2009 08 on parsing perl 5 html 无论如何 Perl 是否有正
Firestore 安全规则 - 查询集合时检查文档字段

当查询文档集合并使用安全规则检查文档上的字段以允许读取时我得到 Uncaught Error in onSnapshot Error Missing or insufficient permissions 我的查询 firebase fi
使用反射获取 Kotlin 中带注释的函数列表

我是 Kotlin 新手我想做以下事情用注释来注释一些函数例如可执行文件运行时获取带有该注解的所有函数检查注释上的属性如果它与条件匹配则调用该函数我有以下代码 annotation class Executable va
使用模板时初始化数组

假设我有课Foo 以下工作正常 class Foo public const int bar Foo bar new int 2 1 2 但是我尝试稍微更改一下以使用模板 template
在 Gulp 任务中获取相对源/目标

假设我有一个文件 Users me app src scripts foo js 我设置了一个 gulp 任务将该文件写入 Users me app dist scripts foo js gulp src src scripts foo
将 google 字体 (fonts.googleapis.com) 添加到 CSP 标头

我在 gitHub 页面上托管一个个人项目并使用 cloudflare 强制执行 https 现在我想实施 CSP 政策我尝试将元标记添加到页面的头部但我收到以下错误拒绝加载样式表 https fonts googleapis co

将 google 字体 (fonts.googleapis.com) 添加到 CSP 标头

将 google 字体 (fonts.googleapis.com) 添加到 CSP 标头 的相关文章

随机推荐

热门标签

将 google 字体 (fonts.googleapis.com) 添加到 CSP 标头的相关文章