如何在 Vue.js 应用程序中设置内容安全策略标头

【问题标题】:How to set Content Security Policy Headers in a Vue.js app如何在 Vue.js 应用程序中设置内容安全策略标头
【发布时间】:2021-03-02 23:56:33
【问题描述】:

我正在尝试通过消除点击劫持来确保我的 Vue 应用程序的安全。

我不确定如何设置 Vue 服务器的标头、元标记中的 X Frame 或 Frame Ancestor 指令的方法,例如:

   <meta http-equiv="Content-Security-Policy" content="X-Frame-Options: DENY:"
    />

但是,下面的链接说这是不受支持的 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

我意识到对于API请求,这些标头应该在后端设置,但是,这是加载应用程序的主页(不发出api请求)。

如何在我的 Vue.js 服务器中设置这些标头

【问题讨论】:

    标签: javascript html vue.js http-headers content-security-policy


    【解决方案1】:

    应用的主页仍然通过 HTTP 加载。

    浏览器发出 HTTP 请求以获取 HTML 文档。该 HTML 文档包含 &lt;script&gt; 元素,这些元素会导致浏览器获取一些 JS。浏览器运行一些 JS 并使用它来修改 Vue 应用程序中的 HTML 文档。

    您应该将 X-Frame-OptionsContent-Security-Policy 配置为在 HTTP 响应标头中提供,以提供用于引导应用程序的初始 HTML 文档的响应。

    不太好的方法是使用&lt;meta&gt; 标记(在同一个HTML 文档中)设置CSP。你不能那样设置X-Frame-Options

    【讨论】:

    • 如何在 Vue 服务器中配置 X-Frame-options?
    • 因为 Vue 服务器仅用于开发目的,这并不重要。如何在生产服务器上配置 HTTP 标头取决于您正在运行的服务器软件。
    • 我的设置使用 Vue、Django 和 Nginx。这可以在 Nginx 中设置吗?
    • 可能。这是你的设置。 duckduckgo.com/?q=set+CSP+in+Nginx
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2021-06-11
    • 2021-12-24
    • 1970-01-01
    • 1970-01-01
    • 2022-09-24
    • 2019-05-25
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode