浏览器使用小记 – Content-Security-Policy

已于 2022-04-06 08:41:20 修改
阅读量2.6k 收藏 1
点赞数
分类专栏: web 文章标签: csp 安全 浏览器
于 2022-04-05 17:20:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/alading2009/article/details/123972903
版权
博主在使用Kong作为API网关时遇到第三方系统响应中拼接HTTP URL导致浏览器因CSP(Content-Security-Policy)阻止的问题。讨论了解决方案,包括让第三方系统采用relative URL或通过设置Kong的响应头`content-security-policy: upgrade-insecure-requests`自动升级不安全请求为HTTPS。文章强调了减少系统耦合和网关透明性的原则,并对CSP和浏览器安全策略进行了简要说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

个人博客

最近重度使用网关 Kong,对接了一堆难搞的存量系统,遇到很多问题,先扔一个:当 Kong 转发请求后,第三方的响应内容里拼接了完整的资源请求地址,但它看到的只是 Kong 剥掉 https 壳以后的 http 请求,所以拼接出来的地址是 http://…. ,到了浏览器端,根据该地址发起 http 请求时,就会被浏览器 block 掉,开 debug 可以看到提示 csp 或者 mixed。

在有多个组成环节的情况下,一个问题通常就会有多种解法(甩锅应该更形象)。就目前这个问题,淡化 PaaS/CaaS 等设施的情况下,参与环节可以聚焦到三个:客户端浏览器 — Kong 网关 — 存量X系统。

最直接的想法就是由 X 系统自行调整,从尽量减少耦合的角度来说,一个系统应该尽量不了解其他系统的知识,不应该拼接完整的 url 请求地址,最好是能根据 rfc7231 里的描述改用 relative url absolute path,完整的请求地址则交由客户端浏览器去拼接。

然鹅存续时间比较长的企业里,历史积累下来的各种存量系统情况一般都比较复杂,存量 X 系统无力调整。秉着网关尽量透明的原则,分析处理之。

回到最开始浏览器提示的 CSP 问题,CSP 即 Content-Security-Policy,因为我们的网站在浏览器端是通过 https 访问的,从一个 https 的网页上发起 http 请求,属于安全性降级的操作,被认为是不安全的,所以浏览器直接 block 掉。

但是这种情形实际上并不少见,比如我的网站以前去第三方请求了一些资源,当时大家都是 http,没啥问题,后来我一夜之间升级到 https 后,因为浏览器安全策略可能就加载不到这些资源了。

这下咋办?标准里打了一个补丁,允许通过设置 upgrade-insecure-requests(字面意思:升级不安全的请求),告知浏览器自动将 http 的请求替换为 https 的请求。

按这个思路,在返回的第一个响应经过 Kong 时,设置上【content-security-policy: upgrade-iinsecure-requests】就可以了。

ps:csdn 啥时候又上了个尬到抠脚的发文助手,这么搞吃枣药丸

【Javascript】Content-Security-Policy upgrade-insecure-requests
十一月的肖邦
01-02 4461
业务场景 在 https 协议下使用阿里云的 OSS 直传功能时,会出现相关错误提示导致图片无法上传 解决方案 可以在客户端页面 head 元素中添加 CSP meta 标签来解决,可参考如下资料: https://cloud.tencent.com/developer/section/1189878 代码示例 function set_content_security_policy() { ...
myeclipse试用小记----Hibernate多对一双向关联(2)
04-23
在本篇【myeclipse试用小记----Hibernate多对一双向关联(2)】中,博主主要探讨了使用MyEclipse集成开发环境与Hibernate框架进行多对一双向关联的配置与实现。MyEclipse是Eclipse的一个强大扩展,特别适合Java Web...
Web安全Content Security Policy(CSP 内容安全策略)详解
路多辛的所思所想
04-12 7262
Content-Security-Policy值由一个或多个指令组成,多个指令用分号分隔。script-src:外部脚本style-src:样式文件img-src:图片文件media-src:媒体文件(音频和视频)font-src:字体文件object-src:插件(比如 Flash)child-src:框架frame-ancestors:嵌入的外部资源(比如、、和)
nginx转发https网页加载http图片乱码问题
艾瑞-Arin
03-08 3453
原因一: 在一个https的网站中,如果加载了http图片资源,浏览器将认为这是不安全的图片资源,将会默认阻止,导致图片是不加载的,同样的css资源、js资源也是一样不加载的。 解决方案: 网页使用https情况下需要全站代码都支持https://。 如果网站存在图片、js、css、mp4、mp3等任何外来的http数据网页会提示不安全。 将外联或本地源码都改成https,外联资源不支持https的下载到本地网页调用。 原因二:X-Content-Type-Options 互联网上的资源有各种类型,通.
修复Electron项目Insecure Content-Security-Policy(内容安全策略CSP)警告的问题
最新发布
编程菜鸟夜灵的日常...
03-12 463
img-src 'self' data::图片加载策略,可以引用同源图片;或使用data:URI来嵌入图片,这种URI模式允许将图片直接嵌入到html或css中,而不是通过外部链接引用。style-src 'self' 'unsafe-inline':样式表加载策略,引入样式时,可以是同源的,或者使用行内样式;default-src 'self':配置加载策略,默认引入外部资源时,只能是同源的;将以下代码粘贴进html的<header>标签内。解释一下上面代码中的属性含义。
Content Security Policy 入门教程
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
05-08 1567
说明 本文转载自【阮一峰网络日志:Content Security Policy 入门教程】 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提
Chrome Extension 中的 CSPContent Security Policy) 开发小记
热门推荐
如果我年少有为不自卑
12-14 1万+
Chrome Extension CSP 开发小记标签(空格分隔): chrome-extension web开发 CSP在进行Chrome拓展程序开发的时候,我们经常会遇到需要加载第三方库的情况,常见的如Jquery/Bootstrap库等,然而Chrome Extension的开发与一般网页不同,当我们在页面中加入如下代码时<script src="https://code.jquery.com
解决在浏览器中https请求http资源而报警
YHJ
06-11 2474
错误信息: Mixed Content: The page at 'https://wshop.xxx.com/wxshop/' was loaded over HTTPS, but requested an insecure image 'http://wshop.xxx.com/wxshop//image/A3.jpg'. This content should also be served over HTTPS. 报错原因: HTTPS 是 HTTP over Secure Socket L
myeclipse试用小记----Hibernate多对一单向关联(1)
04-23
标题 "myeclipse试用小记----Hibernate多对一单向关联(1)" 提到的是在MyEclipse集成开发环境中使用Hibernate框架实现多对一单向关联的实践记录。这个主题涉及到Java后端开发中的数据库关系映射和对象持久化技术。 ...
myeclipse试用小记----Hibernate多对一自身关联(3)
04-23
标题中的“myeclipse试用小记----Hibernate多对一自身关联(3)”表明了这篇内容是关于MyEclipse IDE的使用体验,特别聚焦在Hibernate框架中的多对一自身关联关系的实践与理解。Hibernate是Java开发中常用的一个对象...
liferay开发小记---开发环境的搭建
05-24
在IT行业中,Liferay是一款广泛使用的开源企业级门户平台,用于构建数字体验和协作解决方案。本文将详述“liferay开发小记——开发环境的搭建”这一主题,旨在帮助开发者们快速有效地设置自己的开发环境,从而顺利...
git使用小记-github1
08-08
git使用小记----作者:谭耀武概述本文以FrameworkBenchmarks为例对git的一些操作进行说明fork版地址:https://github.c
https网站不显示小锁【解决办法】
Zilin的博客
12-15 2847
在HTML的head标签中加一段&lt;meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests" /&gt;即可 例子: &lt;head&gt; &lt;meta http-equiv="Content-Security-Policy" content="upgrade-insecure-req.
nginx CA证书配置HTTPS
qq_40095973的博客
03-29 1031
server {    listen 443;    server_name eee.top;    ssl on;    root /data/webroot/test;    index index.html index.htm;    ssl_certificate   cert/2.pem;    ssl_certificate_key  cert/244.key;    ssl_sess...
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
浏览器不再显示 https 页面中的 http 请求警报
weixin_34358365的博客
08-21 863
HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错: Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecur...
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 8517
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 头信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
CSP浅析与绕过
dzqxwzoe的博客
01-09 2292
CSPContent Security Policy,内容安全策略),是网页应用中常见的一种安全保护机制,它实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,哪些不可以。
Content-Security-Policy
03-08 2321
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> W3C 工作组考虑到了我们升级 HTTPS 的艰难,在 2015 年 4 月份就出了一个Upgrade Insecure Requests的草案,他的作用就是让浏览器自动升级请求。 在我们服务器的响应头中加入:...
requests 您目前使用浏览器版本过低
08-12
回答: 根据引用中提到的信息,requests库是一个用于进行HTTP通信的Python库,它可以直接与谷歌浏览器驱动进行通信,驱动Chrome浏览器执行命令。然而,requests库本身并不涉及浏览器版本的问题。所以,如果您目前使用浏览器版本过低,您可能需要升级浏览器版本,或者使用更新的谷歌浏览器驱动(chromedriver)来进行通信。请注意,具体的升级方法会根据您所使用浏览器和操作系统的不同而有所不同。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [selenium 原理应用 - 利用 requests 模拟 selenium 驱动浏览器](https://blog.youkuaiyun.com/weixin_45674354/article/details/123055618)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [浏览器使用小记Content-Security-Policy](https://blog.youkuaiyun.com/alading2009/article/details/123972903)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [requests模块的使用](https://blog.youkuaiyun.com/apollo_miracle/article/details/84769941)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值