起因
公司项目进行漏扫,提出几条整改意见(其他的都比较简单、已经解决),其中有一条是`针对缺失"Content-Security-Policy"头漏洞整改建议`,漏扫方建议
Nginx
在nginx.conf中进行设置:
server {
…
add_header Content-Security-Policy "default-src 'self';";
}
嗯,很简单,上手干。
nginx -s reload
服务起来了,访问一下 www.baidu.com
访问又问题,明显的有页面访问不到、图片上传不上去,这不行啊。
老哥建议我请求头加内容譬如
我全加了一遍感觉还是有问题,弄了一个笨办法,把自己访问的域名全加一遍,遇到地图这种域名多的,csp还支持通配符配置,这才解决了漏扫(笨方法),如下图:
add_header Content-Security-Policy "default-src 'self' *.map.gtimg.com mapapi.qq.com *.qq.com img.yzcdn.cn 'unsafe-inline' 'unsafe-eval' blob: data: ;";
