头盔:如何允许从不同的域加载图像(错误:NotSameOriginAfterDefaultedToSameOriginByCoe-码文网

我使用helmet设置 CSP 头。我在前端使用 React。

我将图像存储在子域（ets.mydomain.com）上。由于某种原因，我在加载图像时收到以下错误消息：ERR_BLOCKED_BY_RESPONSE.NotSameOriginAfterDefaultedToSameOriginByCoep。

我还为 Google Analytics 使用脚本标记。这也给了我一个错误消息：Refused to connect to https://www.google-ytics.com/ because it violates... "default-src 'self'"

这是我如何配置我的 CSP 目前：

app.use(
  helmet({
    contentSecurityPolicy: {
      directives: {
        defaultSrc: ["'self'"],
        scriptSrc: [
          "'self'",
          "https://www.googletagmanager.com",
          "'self'",
          "https://www.google-ytics.com",
          "'unsafe-inline'",
          "mydomain.com",
        ],
        imgSrc: ["'self'", "ets.mydomain.com"],
      },
    },
    crossOriginEmbedderPolicy: false,
    crossOriginResourcePolicy: false,
  })
);

我的 CSP 配置有什么问题？

因此，如果有人出于某种原因遇到这个问题，我想通了。事实证明，cross-origin-embedder-policy标题给我带来了麻烦。这必须被禁用。Helmet有一个内置的选项crossOriginEmbedderPolicy: false,。更多信息here。

对于大多数人来说,我猜这会起作用。但是它对我不起作用。标题仍在设置中。用 express 禁用它也不起作用 (app.disable('cross-origin-embedder-policy');)。

我不知道为什么标题仍然被设置，但我不得不在我的 nginx 配置中手动禁用它：proxy_hide_header cross-origin-embedder-policy;

我的配置：

app.use(
  helmet({
    contentSecurityPolicy: {
      directives: {
        defaultSrc: ["'self'"],
        scriptSrc: [
          "'self'",
          "'unsafe-inline'",
          "https://*.google.com",
          "https://*.google-ytics.com",
          "https://*.googletagmanager.com",
          "https://*.hotjar.com",
          "https://*.mollie.com",
        ],
        connectSrc: [
          "'self'",
          "'unsafe-inline'",
          "https://*.google.com",
          "https://*.google-ytics.com",
          "https://*.googletagmanager.com",
          "https://*.hotjar.com",
          "https://*.mollie.com",
        ],
        imgSrc: [
          `'self'`,
          `data:`,
          `*.domain.nl`,
          `*.amazonaws.com`,
        ],
      },
    },
    //Will work for most, but did not work for me:
    // crossOriginEmbedderPolicy: false,
  })
);
//# in nginx I manually disabled the COEP header: roxy_hide_header cross-origin-embedder-policy;

本站系公益性非盈利分享网址，本文来自用户投稿，不代表码文网立场，如若转载，请注明出处

win7玩cf卡顿怎么解决：解决Win7环境下CF游戏卡顿问题

尝试更新系统：可能是由于系统缺少某些补丁或者更新导致CF卡顿，可以尝试在Windows Update中进行检查更新，并安装最新的补丁和更新。更新显卡驱动：可能是由于显卡驱动过旧或者不兼容导致CF卡顿，可以尝试更新显卡驱动，可以到显卡厂商官网下载最新的驱动进行安装。…

2023-04-10 10:31:26

0 51 52 66

vs编写c++：#include using namespace std;int main(){ cout

Visual Studio（VS）是一款由微软公司开发的集成开发环境（IDE），它可以帮助开发者快速编写、调试和部署各种应用程序。VS支持各种编程语言，包括C++。…

2023-05-20 04:32:40

0 63 92 71

california法拉利加州风采，让你走遍世界！

California Ferrari是指法拉利公司在美国加州的旗舰店，它位于米兰市中心的埃尔贝罗·卡洛斯·法拉利广场（Elbero Carlos Ferrari Plaza）。California Ferrari提供了一系列的豪华汽车，包括法拉利458 Italia、法拉利F12 Berlinetta、法拉利California T以及法拉利LaFerrari等。此外，它还提供了一系列配件和服务，如保养、维修、改装、改装和改装等。…

2023-04-12 04:47:38

0 62 69 54

头盔:如何允许从不同的域加载图像(错误:NotSameOriginAfterDefaultedToSameOriginByCoe

发表评论

评论列表（17条）

头盔:如何允许从不同的域加载图像(错误:NotSameOriginAfterDefaultedToSameOriginByCoe

相关推荐

发表评论

评论列表（17条）