问题请教！vue项目关于Nginx配置nonce安全策略的问题

vue通过nginx部署，但是CSP安全策略不让设置‘unsafe-inline’，所以vue前端项目的script、style都无法执行，尝试了很多方法，请大家帮我。

我的nginx配置：


#user  nobody;
worker_processes  1;
events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;    
    sendfile        on;
    keepalive_timeout  600000;
    client_max_body_size  10M;
    client_body_buffer_size 4M;
    
    server {
        listen      80;
                server_name  localhost;
                add_header X-Content-Type-Options "nosniff";
        add_header X-Frame-Options "SAMEORIGIN";
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header Referrer-Policy "origin"; 
        add_header X-Download-Options "noopen";
        add_header X-Permitted-Cross-Domain-Policies "none";
        add_header Access-Control-Allow-Origin '192.168.200.128:80';
        server_tokens off;
        
        location / {
            sub_filter_once off;
            sub_filter NONCE_TOKEN $request_id;        
            add_header Content-Security-Policy "object-src 'self';script-src 'self' 'strict-dynamic' 'nonce-$request_id';style-src 'self' 'unsafe-inline'";
            if ($request_uri ~* \.(php|zip|arj|lzma|wim|war|ear|ar|gz|rac|tar|txt|arc|ARC)$) {
                return 403;
            }
            root   /home/dist;
            try_files $uri $uri/ /index.html;
            index  index.html index.htm;
        }

        location ~* \.(php|zip|arj|lzma|wim|war|ear|ar|gz|rac|tar|txt|arc|ARC)$ {    
             deny all;    
        } 
        location /prod-api/{
            proxy_set_header Host $http_host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header REMOTE-HOST $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://localhost:8080/;
            proxy_connect_timeout 600s;
            proxy_send_timeout 600s;
            proxy_read_timeout 600s;
        }

        error_page 401 403 404 500 502 503 504  /404;
        location = /404 {
            root   /home/dist;
        }
    }
}

我的vue.config.js配置：

'use strict'
const path = require('path')
const defaultSettings = require('./src/settings.js')
const ScriptExtHtmlWebpackPlugin = require("script-ext-html-webpack-plugin");

function resolve(dir) {
  return path.join(__dirname, dir)
}

const name = defaultSettings.title || '系统' // 标题

const port = process.env.port || process.env.npm_config_port || 80 // 端口


module.exports = {
  publicPath: process.env.NODE_ENV === "production" ? "/" : "/",
  // 在npm run build 或 yarn build 时 ，生成文件的目录名称（要和baseUrl的生产环境路径一致）（默认dist）
  outputDir: 'dist',
  // 用于放置生成的静态资源 (js、css、img、fonts) 的；（项目打包之后，静态资源会放在这个文件夹下）
  assetsDir: 'static',
  // 是否开启eslint保存检测，有效值：ture | false | 'error'
  lintOnSave: process.env.NODE_ENV === 'development',
  // 如果你不需要生产环境的 source map，可以将其设置为 false 以加速生产环境构建。
  productionSourceMap: false,
  // webpack-dev-server 相关配置
  devServer: {
    host: '0.0.0.0',
    port: port,
    proxy: {

      [process.env.VUE_APP_BASE_API]: {
        target: `http://localhost:8080`,
        changeOrigin: true,
        pathRewrite: {
          ['^' + process.env.VUE_APP_BASE_API]: ''
        }
      }
    },
    disableHostCheck: true
  },
  configureWebpack: {
    name: name,
    resolve: {
      alias: {
        '@': resolve('src')
      }
    },
    plugins: [
      new ScriptExtHtmlWebpackPlugin({
        custom: {
          //test: /runtime|app/,
          test: /(.*\.js)/, // adjust this regex based on your demand
          attribute: 'nonce',
          value:'<%= nonce %>'
        }
      })
    ]
  },
  chainWebpack(config) {
    config.plugins.delete('preload') // TODO: need test
    config.plugins.delete('prefetch') // TODO: need test
    config.module
      .rule('svg')
      .exclude.add(resolve('src/assets/icons'))
      .end()
    config.module
      .rule('icons')
      .test(/\.svg$/)
      .include.add(resolve('src/assets/icons'))
      .end()
      .use('svg-sprite-loader')
      .loader('svg-sprite-loader')
      .options({
        symbolId: 'icon-[name]'
      })
      .end()

    // set preserveWhitespace
    config.module
      .rule('vue')
      .use('vue-loader')
      .loader('vue-loader')
      .tap(options => {
        options.compilerOptions.preserveWhitespace = true
        return options
      })
      .end()

    config
      .when(process.env.NODE_ENV !== 'development',
        config => {
          config
            .plugin('ScriptExtHtmlWebpackPlugin')
            .after('html')
            .use('script-ext-html-webpack-plugin', [{
            // `runtime` must same as runtimeChunk name. default is `runtime`
              inline: /runtime\..*\.js$/
            }])
            .end()
          config
            .optimization.splitChunks({
              chunks: 'all',
              cacheGroups: {
                libs: {
                  name: 'chunk-libs',
                  test: /[\\/]node_modules[\\/]/,
                  priority: 10,
                  chunks: 'initial' // only package third parties that are initially dependent
                },
                elementUI: {
                  name: 'chunk-elementUI', // split elementUI into a single package
                  priority: 20, // the weight needs to be larger than libs and app or it will be packaged into libs or app
                  test: /[\\/]node_modules[\\/]_?element-ui(.*)/ // in order to adapt to cnpm
                },
                commons: {
                  name: 'chunk-commons',
                  test: resolve('src/components'), // can customize your rules
                  minChunks: 3, //  minimum common number
                  priority: 5,
                  reuseExistingChunk: true
                }
              }
            })
          config.optimization.runtimeChunk('single'),
          {
             from: path.resolve(__dirname, './public/robots.txt'),//防爬虫文件
             to:'./',//到根目录下
          }
        }
      )
  }
}

前端访问报错：

我应该怎样改？

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

18条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
码农阿豪 Java领域优质创作者 2024-04-19 12:32
关注
让阿豪来帮你解答，本回答参考chatgpt3.5编写提供，如果还有疑问可以评论或留言
使用 productionSourceMap 选项来关闭它 productionSourceMap: false, // webpack-dev-server 相关配置 devServer: { host: 'localhost', port: 8080, proxy: { '/api': { target: 'http://localhost:8000', changeOrigin: true, pathRewrite: { '^/api': '' } } } }, configureWebpack: { // webpack 配置 name: name, // 支持IE11 entry: { pollyfill: [ '@babel/polyfill'] }, output: { filename: '[name].[hash].js' }, plugins: [ new ScriptExtHtmlWebpackPlugin({ inline: /runtime\..*\.js$/ }), ], } 针对这个问题，可以通过以下几种方案解决： 1.使用nonce 在CSP安全策略中设置nonce值，通过在script和style标签的nonce属性上设置该值，来保证安全的执行script和style。例如，在nginx配置中添加以下内容： location / { add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'nonce-1234567890'; style-src 'self' 'unsafe-inline' 'nonce-1234567890';"; } 然后在vue中引用的script和style标签上添加nonce属性，例如： <style>/* your style code */</style> <script src="your-script.js"></script> 2.禁用unsafe-inline 在CSP安全策略中禁用unsafe-inline，这样可以让所有的script和style都不能使用inline方式。例如，在nginx配置中修改Content-Security-Policy为： location / { add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'strict-dynamic'; style-src 'self';"; } 这样，所有的script和style都必须以外部文件的方式引入，inline方式的代码将会被禁用。 3.使用hash或chunkhash 在vue项目中使用hash或chunkhash来保证文件的唯一性，这样可以避免使用unsafe-inline。例如，在vue.config.js配置中添加： module.exports = { // ... configureWebpack: { output: { filename: '[name].[chunkhash].js', chunkFilename: '[name].[chunkhash].js' } } } 这样，在打包生成的文件中，每个文件都会被赋予唯一的hash值或chunkhash值，从而保证安全。

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Vue3 项目 Nginx 配置问题 nginx vue.js 前端
2023-01-10 17:13

回答 2 已采纳最终的问题在于全局配置。全局配置有写： user www www; 我学习了一下，意思是以 www 用户和 www 用户组运行，而不是它的主用户组 web。改为： user www web;
使用nginx部署vue前端问题 nginx vue.js 前端
2022-10-13 13:43

回答 2 已采纳需要的 nginx -s reload
前后端项目部署问题！前端vue后台springboot spring boot tomcat vue.js
2021-08-27 08:56

回答 7 已采纳应该是跨域问题，你看下接口访问的地址是否是403了
Vue + Nginx 项目部署（亲测有效）
2022-03-25 23:13

hivesplace的博客举例，本地启动vue项目，然后在Nginx里配置 nginx.conf worker_processes 2; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile
vue 菜单异步的问题请教！我估计是异步的问题 vue.js 前端有问必答
2022-06-10 03:02

回答 9 已采纳看题主代码用到了async+Promise对象，应该还是没完全理解，可以看下阮一峰老师的教程 ES6 入门教程
Vue 没有焦点时，中文输入法的问题请教！ javascript vue.js 前端有问必答
2022-06-29 14:52

回答 2 已采纳隐藏光标用cssinput{caret-color: transparent;} 直接让input聚焦，输入或者dblclick时设置下光标颜色为黑色 <style> input{care
vue项目中的配置文件的配置问题 vue.js 前端
2022-05-10 16:12

回答 2 已采纳自己的配置可以放在 vue.config.js 中，配置你的 publicPath、outputDir、assetsDir、lintOnSave（是否开启eslint保存检测）、具体文件你可以去官网看
Vue项目打包
2019-12-15 11:10

森大人_X的博客 SpringBoot+VUE+Nginx 前后台分离WEB项目部署——Vue项目打包 VUE项目打包时需要进行以下router下index.js文件和 config/index.js两个文件的修改。（1）router下index.js文件修改在router下添加如下配置 base: ...
nuxt部署问题nginx配置 nginx vue.js 前端
2022-07-20 17:36

回答 3 已采纳以前貌似遇到过，你的 /admin 下访问的静态 js 那就的给你的 admin 项目的js前面都加上 /admin，然后让 /admin/xx.js 才能访问到正确的 js, 其他的配置就正常配置。
关于vue项目部署到服务器的问题，如何解决？ javascript vue.js 前端
2022-11-07 21:57

回答 2 已采纳看一下控制台，是404还是跨域，还是其他错误
关于#前端#的问题：vue页面跳转结束接口调用 vue.js 前端
2022-05-18 20:23

回答 1 已采纳或许你应该描述一下是基于什么场景，如有一个轮询接口还是socket之类的
Vue-cli学习笔记
2022-01-13 15:22

一块语法糖的博客 vue-cli、vue-router、vuex
宝塔面部部署纯Vue项目在nginx处报错 centos nginx vue.js
2022-11-05 15:26

回答 1 已采纳 .so是需要自己从源码编译安装的，不要自己下载扔上去。况且你还扔了个32位的....nginx要的是64位的。按你Linux系统版本去找找编译安装gd库的资料吧。centos7 可以参考这个：htt
vue打包上线部分css效果错乱,解决Vue打包上线之后部分CSS不生效的问题
2021-08-03 22:52

不拾掇能这样吗的博客解决Vue打包上线之后部分CSS不生效的问题首先注释掉webpack.prod.conf.js中下面的代码new OptimizeCSSPlugin({cssProcessorOptions: config.build.productionSourceMap? { safe: true, map: { inline: false } }: { ...
vue项目常见错误及解决方法
2019-11-29 10:23

Fxhani的博客 vue常见错误解决 1、Error in render: “TypeError: Cannot read property ‘list’ of undefined” **报错：**渲染错误：“未定义的Type Error：无法读取属性”列表 **原因：**没给list定义，也就是说在temple中用...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
已结题（查看结题原因） 4月24日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 4月19日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 4月19日

悬赏问题

¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测
¥15 ETLCloud 处理json多层级问题
¥15 matlab中使用gurobi时报错
¥15 这个主板怎么能扩出一两个sata口
¥15 不是，这到底错哪儿了😭
¥15 2020长安杯与连接网探
¥15 关于#matlab#的问题：在模糊控制器中选出线路信息，在simulink中根据线路信息生成速度时间目标曲线（初速度为20m/s，15秒后减为0的速度时间图像）我想问线路信息是什么

问题请教！vue项目关于Nginx配置nonce安全策略的问题

18条回答 默认 最新

问题事件

悬赏问题

18条回答默认最新