开发人员工具控制台错误消息 CSP代码

0
回复
63
查看
[复制链接]

891

帖子

23

精华

2908

金币

本站管理员

XM币
7857

灌水之王本站元老大师哥一枚金牛座至尊勋章蘑菇头

发表于 2020-8-19 01:43:49 | 显示全部楼层 |阅读模式
代码
信息
描述
建议的修复
CSP14301
“无法解析[策略类型],因为<取消操作的原因>-策略将被忽略。”
指定的安全策略类型(例如script-src,base-uri)由于识别出的原因而失败,将被忽略。
确保在单个指令中列出特定类型的所有必需资源。例如,在中script-src https://host1.com; script-src https://host2.com,第二个指令将被忽略。以下正确地将两个原点都指定为有效:script-src https://host1.comhttps://host2.com
CSP14302
“在[source URL]的[policy type]中无法解析指令[directive type]的源-源将被忽略。”
大多数CSP指令都需要一个或多个内容源(指示可以从中加载内容的URL)。该错误指出带有指令的策略,该指令包含尝试解析时失败的源URL。
检查在指定指令中定义的内容源(通常是URL),您可以在指定的策略类型中找到该内容。更正或替换源URL或删除指令。
*您的策略应包含default-src策略指令,当其他资源类型没有自己的策略时,该指令将作为备用资源。
CSP14303
“ [策略类型]策略为空。”
策略类型(例如,HTTP标头中的Content-Security-Policy)为空。
可在[color=var(--visited)]http://content-security-policy.com上找到设置内容安全策略的快速参考。
CSP14304
“将忽略[策略类型]源中的指令[指令类型]的未知源[源URL]。”
所标识指令中已批准(安全)内容的来源未知,将被忽略。
检查标识的内容源(通常是URL)以确保其正确。
CSP14305
“将忽略[策略类型]源中指令[指令类型]的不受支持的源[源URL]。
此指令中列出的源(URL,关键字或数据)不受支持,将被忽略。
源站点的地址可能包含可选的前导通配符(星号*)。例如,http:// *.foo.com或mail.foo.com:*。主机以空格分隔。来源也可以是关键字(均不支持任何关键字,自我,不安全内联和不安全评估)或数据(数据:URI,媒体流:URI)。
CSP14306
“没有为[策略类型]的指令[指令类型]提供任何资源-这等效于使用'none',并且将阻止下载该类型的所有资源。”
给出指令而不列出任何可访问安全内容的来源与禁止下载指令中指定类型的任何资源相同。
来源可以是一个或多个Internet主机名或IP地址,以及可选的URL方案和/或端口号。
CSP14307
“已经为[策略类型]的指令[指令类型]提供了源[源URL]。”
此指令中列出了重复的来源(URL,关键字或数据),将被忽略。
删除已标识的重复源。
CSP14308
“ [策略类型]中[伪指令名称]处的解析伪指令失败。”
确定的指令失败。有关如何编写支持的指令的指导,请参见[color=var(--visited)]http://content-security-policy.com
指令必须用分号分隔。例如,如果您有一个应用程序从一个内容交付网络中加载了所有资源(例如https://cdn.example.net),并且知道不需要框架内容或任何插件,那么您的策略可能类似于:Content-Security-Policy: default-src https://cdn.example.net; child-src 'none'; object-src 'none'. *虽然指令之间用分号分隔,指令内的源代码只能用空格分隔。
CSP14309
“ [策略类型]中[伪指令名称]中的未知伪指令-伪指令将被忽略。”
CSP策略中设置的指令未知,将被忽略。
有关受支持的指令的列表,请参见[color=var(--visited)]http://content-security-policy.com
CSP14310
“ [策略类型]中不受支持的指令[指令名称] –指令将被忽略。”
在解析过程中发现了一条指令,该指令Content-Security-policy-Report-Only不受策略类型(例如标头字段)的支持,将被忽略。有关受支持的指令,请参见[color=var(--visited)]http://content-security-policy.com
删除不受支持的指令。 注意:<meta>元素或Content-Security-policy-Report-Only标题字段中不支持某些指令。
CSP14311
“ [策略类型]中已经提供了指令[指令名称]-重复指令将被忽略。”
在分析过程中发现重复指令,第二个指令及其源表达式将被忽略。
删除重复的脚本。
CSP14312
“ [策略类型]:[目标uri]中的资源违反指令[伪指令]。资源将被阻止。”
在此示例中:“资源在主机定义策略:内联脚本中违反了指令'script-src ms-appx:数据:'unsafe-eval'。资源将被阻止。”
内联脚本(目标uri)由于'script-src ms-appx: data: 'unsafe-eval'“主机定义”策略中的指令而被阻止。
作者需要将所有内联脚本和样式脱机,因为用户代理无法确定攻击者是否注入了内联脚本。删除内联脚本并将其放置在外部文件中。
CSP14313
“ [策略类型]:[目标uri]中的资源违反指令[伪指令]。由于策略仅是报告性的,因此不会阻止资源。”
确定资源违反了Content-Security-policy-Report-Only标头字段中指定的指令。因为它属于Report-Only策略类型,所以不会阻止该资源。
如果应该为了保护您的站点而阻止此资源,请将伪指令移动到Content-Security-policy标头字段中。
CSP14314
“由于[取消操作的原因],未能将违反政策的报告发送到[目标目的地uri]。”
报告策略违规时出现问题,应确定指定发送报告的目标目的地以及不发送报告的原因。
该report-uri指令指定一个URL,当违反内容安全策略时,浏览器将在该URL发送报告。 *不能在<meta>标签中使用。
CSP14315
“由于[取消操作的原因],无法在[策略类型]中强制执行沙箱指令。”
沙箱指令由于指定的原因而失败。该指令限制了页面可以执行的操作,而不是页面可以加载的资源。如果存在沙箱指令,则将页面视为已加载到iframe中。它可以防止弹出窗口和插件,并阻止脚本执行。
保持沙箱值空,以保留所有限制的地方,或添加值:allow-forms,allow-same-origin,allow-scripts,和allow-top-navigation。 * <meta>元素或Content-Security-policy-Report-Only标题字段中不支持沙箱指令。
CSP14316
“由于主机覆盖,允许脚本评估。”
当包含script-srcor default-src指令时,eval()除非分别指定unsafe-inline和unsafe-eval,否则禁用内联脚本和。
'unsafe-eval'允许使用eval()和类似的方法从字符串创建代码。您必须包括单引号。 注意:这是不安全的,可能会打开您的网站来进行跨站点脚本漏洞。
CSP14317
“由于主机覆盖而允许使用框架[源名称]。”
由于主机CSP策略中设置了覆盖,因此已允许标识出的源帧。
策略可能包含一个nonce-source表达式,这意味着该源只能在一种情况下使用,并且服务器每次发送策略时都必须为指令生成一个新值。随机数会覆盖它们所在的指令中的限制。


小孟资源分享是一个给网络新手提供各类源码以及技术经验分享学习的网站,免费分享各类网站模板,游戏源码,手游源码,H5手游,页游端游源码,游戏架设技术分享,网站架设技术分享,日常软件分享,游戏攻略,日常攻略分享都尽在(WWW.XMZYFX.COM)小孟资源分享学习网!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

专注源码模拟素材教程免费分享
www.xmzyfx.com

小孟资源分享网

每天不定时更新不同的资源和资讯

反馈建议

14508690@qq.com 在线QQ咨询

一个免费的资源分享网

© 2019-2020 XMZYFX.COM Inc.All Rights Reserved. 小孟资源分享网 ( 闽ICP备20012007号 )|网站地图|友链申请