YamiOdymel
commented
6 years ago 不好意思,我對這個是什麼東西還真沒頭緒。看起來像是允許的 Domain 白名單。
基本上如果是從 CDN 載入 Tocas UI 的話,允許 cdnjs.cloudflare.com 網域名稱就可以了。
Closed r1235613 closed 6 years ago
YamiOdymel
commented
6 years ago 不好意思,我對這個是什麼東西還真沒頭緒。看起來像是允許的 Domain 白名單。
基本上如果是從 CDN 載入 Tocas UI 的話,允許 cdnjs.cloudflare.com 網域名稱就可以了。
r1235613
commented
6 years ago Content Security Policy: 頁面的設定阻擋了 https://cdn.rawgit.com/TeaMeow/TocasUI/2.3.2/dist/fonts/icons.woff2 的資源載入
是的,我一開始的確是這樣下,但是控制台給我報錯了....至少看到它還有從其他地方載入資源,我的規則目前只有允許https://cdnjs.cloudflare.com/*
CSP是用來阻止瀏覽器從不明的地方載入或傳送資源用的,所以沒有全部列出來的話是會被擋掉的,用來防禦XSS之類的攻擊
YamiOdymel
commented
6 years ago 可能因為你引用的 Tocas UI 是來自 cdn.rawgit.com 而不是 cdnjs.cloudflare.com 吧?
以前是使用 rawgit,後來因為通過 CloudFlare 的認證之後都改用 cdnjs.cloudflare.com 了。
相關的引用網址在這裡:https://cdnjs.com/libraries/tocas-ui
r1235613
commented
6 years ago 原來如此,我是拿範例資料來改的,沒有注意到它是舊的 範例資料:https://examples.tocas-ui.com/pages/login.html 我把它小改了一下寫成我的期末作業了 小作業:https://anton.nttu.club/
非常感謝大大,我下次會注意的
r1235613
commented
6 years ago 附上我的政策,如果只有需要用這個UI又想讓網站安全些,可以把下面的Code加到head裡面
<meta http-equiv="Content-Security-Policy" content="default-src https://cdnjs.cloudflare.com/ajax/libs/tocas-ui/*">
goodjack
commented
6 years ago 我猜是因為這篇嗎 [翻譯] 我是這樣拿走大家網站上的信用卡號跟密碼的
r1235613
commented
6 years ago @goodjack 有趣的一篇呢~不過不是因為這個。 我在完成東西之前會盡我所能將所有能上的安全性全部處理掉,這次只是作業 之前是HSTS等等都會上的 而且我後端用Python,HTML都是用神社2渲染,不會有多餘代碼出現在我的網頁上。
不知道載入了哪些資源....有任何清單嗎?