我正在根据集成本地银行支付网关的要求为 WordPress 网站制定内容安全策略。遗憾的是,许多内联脚本都是 WordPress 及其插件的一部分。我必须手动将生成并显示在控制台中的哈希值列入白名单。我补充道:
Header set Content-Security-Policy "default-src 'none'; script-src 'self' 'sha256-#RANDOM_CHARACTERS'
sha256-#RANDOM_CHARACTERS(取自控制台)
我必须手动一一提取这些哈希值。有没有更有效的方法来做到这一点?
我在 GITHUB 上发现了以下内容: 汽车CSP
理想情况下,应该会生成类似这样的内容,我可以将其复制并粘贴到 CSP 中,但它对我来说根本不起作用。也许我做错了什么。
@halvor 为什么哈希不能动态工作?使用“严格动态”的建议是使用随机数或散列(它排除了 URL)。 我正在考虑为每个脚本动态生成一个哈希,并将哈希动态添加到 .htaccess (如果可能)。这样,恶意脚本就不会具有相同的哈希值,并且当脚本更改时,两个哈希值也会自动更改。
在这种情况下,最有效的做法是:
如果您的任何脚本是动态的,则静态哈希将不起作用。