将 localhost 添加到内容安全策略是否不安全?

【问题标题】:Is it unsafe to add localhost to Content Security Policy?将 localhost 添加到内容安全策略是否不安全?
【发布时间】:2023-11-25 20:26:01
【问题描述】:

我在index.html 中设置了以下meta 标记,它简化了本地开发,但也将部署在生产代码中:

<meta http-equiv="Content-Security-Policy" content="default-src 'self' localhost:* ws://localhost:*;">

是否有任何已知的方法可以像这样添加localhost 允许任何类型的跨站点脚本攻击?

根据Google's CSP evaluator 看来还可以(嗯,至少是localhost 部分)。

【问题讨论】:

  • 为什么要为此投入时间?只是不要将开发设置部署到生产环境。你真的应该能够将这两个环境分开......
  • 保持现状所需的时间投资为零。目前部署静态 html 文件时不需要额外的处理步骤。

标签: html localhost xss content-security-policy


【解决方案1】:

这不是最佳选择,但不会显着降低用户的安全性。

原因是浏览器和计算机构成了任何网页的可信计算基础。如果您从不受信任的机器上浏览,那么世界上没有任何安全规则可以让网页实施来保证您的数据安全和交易所的隐私。

【讨论】:

    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式