【问题标题】:Stripe Connect : Content Security Policy issueStripe Connect:内容安全政策问题
【发布时间】:2021-08-03 12:23:37
【问题描述】:

即使使用元标记,它仍然显示错误并且 iframe 不工作

<meta http-equiv="Content-Security-Policy" content="
         default-src *; 
         style-src 'self'  'unsafe-inline'; 
         script-src * 'self' https://checkout.stripe.com 'unsafe-inline' 
         connect-src : * 'self' https://checkout.stripe.com  'unsafe-inline' 
         frame-src : * 'self'  https://checkout.stripe.com  'unsafe-inline' 
         'unsafe-eval' 
         ;" >

链接参考:https://stripe.com/docs/security/guide#content-security-policy

错误:内容安全策略:页面设置阻止了内联资源的加载(“script-src”)

我也使用了 header() 来设置它,但这也没有用。任何帮助将不胜感激

【问题讨论】:

    标签: javascript php stripe-payments content-security-policy


    【解决方案1】:

    您缺少 Stripe 文档中描述的 img-src https://*.stripe.com

    此外,单独的星号字符不能用作“任何资源”(代码中错误使用的示例:default-src *)。您需要将其用作&lt;host-source&gt; 的一部分(例如*.example.com)。详情请见MDN docs

    【讨论】:

      【解决方案2】:

      您的 CSP 有很多错误:

      1. 您错过了分隔 script-src / connect-src / frame-src 指令列表的分号 ;

      2. :connect-src : * ...frame-src : * ... 中也不是必需的

      3. connect-srcframe-src 指令中删除 'unsafe-inline''unsafe-eval',那里不支持这些指令

      4. *(星号)covers 任何主机源,例如 https://checkout.stripe.comwss://checkout.stripe.com

      但这些并不重要,这些只是引导您真正拥有的 CSP:

      default-src *; 
      style-src 'self'  'unsafe-inline'; 
      script-src * 'self' 'unsafe-inline' 'unsafe-eval'
      

      除了data:-Urls 的使用,此 CSP 没有任何限制。因此错误:

      Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”)
      

      不能属于您的 CSP。
      看起来您已经在某处发布了 CSP 标头。因此,通过&lt;meta&gt; 或 HTTP 标头的第二个 CSP 不会像预期的那样产生效果。

      检查你在浏览器中真正得到了什么 CSP 头,教程是here

      检查 Nginx 中的网络服务器配置以获取 add_header Content-Security-Policy ....htaccess 文件(如果是 Apache)以获取 Header set Content-Security-Policy ... 存在。
      或者您可能已经安装了一些插件来管理 CSP 标头。

      【讨论】:

        猜你喜欢
        • 2015-07-13
        • 1970-01-01
        • 2019-04-15
        • 1970-01-01
        • 2015-07-22
        • 2016-10-03
        • 2017-04-24
        • 2020-12-29
        • 2016-07-19
        相关资源
        最近更新 更多