node.js - Helm CSP 无法正常工作?

标签 node.js security express content-security-policy helmet.js

使用 Express 分发的 Vue SPA。

这是我在express中的 Helm 代码

app.use(helmet.contentSecurityPolicy({
  directives: {
   defaultSrc: ["'self'"],
   styleSrc: ["'self'","'unsafe-inline'" ,'unpkg.com', 'cdn.jsdelivr.net', 
   'fonts.googleapis.com', 'use.fontawesome.com'],
   scriptSrc: ["'self'","'unsafe-inline'",'js.stripe.com'],
   frameSrc: ["'self'",'js.stripe.com'],
   fontSrc:["'self'",'fonts.googleapis.com','fonts.gstatic.com','use.fontawesome.com','cdn. joinhoney.com']
 }
}));

这样做不会在浏览器控制台中产生错误,但我的页面加载为空白,我是否遗漏了什么?

这是我尝试在index.html 中导入的内容

<script src="https://js.stripe.com/v3/"></script>
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/animate.css@3.5.2/animate.min.css">
<link href="https://unpkg.com/vuetify/dist/vuetify.min.css" rel="stylesheet">
<link href='https://fonts.googleapis.com/css?family=Roboto:300,400,500,700%7CMaterial+Icons' rel="stylesheet">
<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.13/css/all.css" integrity="sha384-DNOHZ68U8hZfKXOrtjWvjxusGo9WQnrNx2sqG0tfsghAvtVlRW3tvkXWZh58N9jp" crossorigin="anonymous">

最佳答案

通过将“'unsafe-eval'”添加到我的 scriptSrc 解决了我的问题

关于node.js - Helm CSP 无法正常工作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51469937/

上一篇:node.js - 在 NodeJS 中部署和托管 PWA

下一篇:node.js - electron-builder :EACCES:权限被拒绝

相关文章:

node.js - 如何将文件/图像从 React 发送到 node.js 服务器

javascript - Feathersjs/nodejs Sequelize

javascript - 使用 Mocha 和 Chai 捕获超出范围的错误

javascript - 在 Sails.js 中从 PostgreSQL 获取 BYTEA

c# - key +初始化 vector 到新 key ?

c# - 在 C# 应用程序中安全存储 Azure Blob 存储访问 key 的正确方法

node.js - 在nodejs中同步递归调用函数

javascript - 如何使用 visual studio 代码调试 javascript 中的 mocha 测试?

python - 在 Django 中防止拒绝服务攻击的最佳实践

node.js - 无法访问 Mongoose 保存回调中的变量

©2024 IT工具网  联系我们