appscan安全漏洞扫描“Content-Security-Policy”头缺失或不安全
后端ngix配置Content-Security-Policy头(自行百度ngix Content-Security-Policy配置)
如果前端页面空白无法加载必须设置scrpt-src unsafe-inline但是扫描通不过,自查是否有内联script,类似这种
<script>
function(){
var a=1;
xxxxxxx;
}()
</script>
把他改成外联的
<script src="./xx.xx"></script>
或者后端ngix Content-Security-Policy头的 scrpt-src 加一个'nonce-xxabcd'
scrpt-src 'self' 'nonce-xxabcd'
然后前端的内嵌js加一个onece="xxabcd"如
<script nonce="xx">
function(){
var a=1;
xxxxxxx;
}()
</script>