代码之家  ›  专栏  ›  技术社区  ›  Noobie3001

如何在IdentityServer4中允许使用Google字体

google-fonts identityserver4 security
  •  4
  • Noobie3001  · 技术社区  · 6 年前

    要在IdentityServer3中使用Google字体,以下内容安全策略从未起作用: 

    <meta http-equiv="Content-Security-Policy" 
      content=" style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
                font-src 'self' 'unsafe-inline' https://fonts.gstatic.com data:">

    相反,我们在idsrvApp中配置了CspOptions。使用有效的IdentityServer构造函数: 

    CspOptions = new CspOptions {
    FontSrc = "https://fonts.gstatic.com",
    StyleSrc = "https://fonts.googleapis.com",
    Enabled = true
}

    如何在IdentityServer4中配置CspOptions?我找不到它。

    1 回复  |  直到 6 年前
        1
  •  9
  •   Noobie3001    6 年前

    对于其他陷入困境的人,请访问SecurityHeadersAttribute。需要修改IdentityServer4快速启动文件附带的cs文件。添加以下行修复了它: 

    var csp = "default-src 'self'; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self';";

// These two lines enable google fonts
csp += "font-src 'self' https://fonts.gstatic.com;";
csp += "style-src 'self' https://fonts.googleapis.com;";

    该文件位于quickstart/SecurityHeadersAttribute中。cs公司

    推荐文章
    Farid  ·  限制django每个客户的访问
    2 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号