CSP 允许特定:data:font/woff;base64,"someBase64encoded font",不使用 csp: font-src 'self' 数据:

【问题标题】:CSP allow specific: data:font/woff;base64,"someBase64encoded font", WITHOUT using csp: font-src 'self' data:CSP 允许特定:data:font/woff;base64,"someBase64encoded font",不使用 csp: font-src 'self' 数据:
【发布时间】:2019-02-19 01:15:21
【问题描述】:

在一些 css 文件中嵌入了一些 base64 字体,但 CSP 阻止了这些: 类似url("data:font/woff;base64,d09GRk9UVE...);

Current CSP = "base-uri 'self'; connect-src 'self'; default-src 'none'; font-src 'self'; form-action 'self'; frame-ancestors 'none'; frame -src 'self'; img-src 'self'; script-src 'self'; style-src 'self';"

W3 和 MDN 说我可以添加一个哈希,但这似乎也不起作用

试过sha256,sha384,sha512

【问题讨论】:

    标签: css fonts base64 content-security-policy


    【解决方案1】:

    data:添加到字体源,例如

    font-src 'self' data:;

    【讨论】:

    • 这不是特指OP不想用的吗?
    • 这也可能造成安全威胁,请参阅 CSP font-src 指令的文档
    猜你喜欢
    • 2018-01-04
    • 1970-01-01
    • 2021-10-13
    • 2021-04-01
    • 1970-01-01
    • 2020-10-22
    • 2016-06-01
    • 2021-10-29
    • 2012-01-24
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode