我已將以下 CSP 添加到我的 nginx 配置中:
add_header Content-Security-Policy "default-src 'none'; script-src 'self'; img-src *.gravatar.com; script-src-elem 'self' 'sha256-HeezHnLPgcw5524/5YMbWWQXJ/fdKZsQX5vG7t1Um25w=' -FVzC2JpGNv45prICvPCadmKf wnLz6Eem3UQaAnTK / 4 =” 'SHA256-Tr3bLHN4KJG2A / qFIDTX Yb0nG Z HS9VAD6k0 / R VY =' 'SHA256-NYk7Q8DQLjjJRwkQ9oG2juhRXSdsOjLWMy0IpXWymRc =' 'SHA256-pu6oe0vPSMzzITPF3U0Z8qBWhbBKykixk7D9kFsDySY =';腳本-SRC-ATTR '自我';風格 - SRC 'sha256-0EZqoz oBhx7gF4nvY2bSqoGyy4zLjNF SDQXGp / ZRY =';風格-SRC-ELEM '自我' 'SHA256-OyKg6OHgnmapAcgq002yGA58wB21FOR7EcTwPWSs54E =' 'SHA256-CK / 6NyEbsJb3V2Bo26t3s0V3RAi3gTWWrjUNGLIZLfw =' 'SHA256-hc4UHa0RDFRaKgh CLvhy5nf4yco / U xPDeTrTejhg ='; ”;
我的瀏覽器 (Chrome) 發出以下警告:
拒絕應用行內樣式,因為它違反了以下內容安全策略指令:“style-src 'self' 'sha256-0EZqoz oBhx7gF4nvY2bSqoGyy4zLjNF SDQXGp/ZrY='”。啟用行內執行需要“unsafe-inline”關鍵字、哈希(“sha256-0EZqoz oBhx7gF4nvY2bSqoGyy4zLjNF SDQXGp/ZrY=')或亂數(“nonce-...”)。請注意,除非存在“unsafe-hashes”關鍵字,否則哈希值不適用于事件處理程式、樣式屬性和 javascript: 導航。
如您所見,散列style-src 'sha256-0EZqoz oBhx7gF4nvY2bSqoGyy4zLjNF SDQXGp/ZrY='已存在并已設定,但瀏覽器說仍然存在問題。
我無法解決這個問題。有什么幫助嗎?
uj5u.com熱心網友回復:
這在這里得到了很好的回答:拒絕執行行內事件處理程式,因為它違反了 CSP。(沙盒)
正如 user27878850 建議的那樣,您可以添加“不安全哈希”,但這目前僅適用于 Chromium 瀏覽器。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/392553.html