有没有办法一次性生成所有内容安全策略内联哈希值? (Wordpress)
问题描述 投票:0回答:2
我正在根据集成本地银行支付网关的要求为 WordPress 网站制定内容安全策略。遗憾的是,许多内联脚本都是 WordPress 及其插件的一部分。我必须手动将生成并显示在控制台中的哈希值列入白名单。我补充道:
Header set Content-Security-Policy "default-src 'none'; script-src 'self' 'sha256-#RANDOM_CHARACTERS'
sha256-#RANDOM_CHARACTERS(取自控制台)
我必须手动一一提取这些哈希值。有没有更有效的方法来做到这一点?
我在 GITHUB 上发现了以下内容: 汽车CSP
理想情况下,应该会生成类似这样的内容,我可以将其复制并粘贴到 CSP 中,但它对我来说根本不起作用。也许我做错了什么。
2个回答
0
投票
投票
@halvor 为什么哈希不能动态工作?使用“严格动态”的建议是使用随机数或散列(它排除了 URL)。 我正在考虑为每个脚本动态生成一个哈希,并将哈希动态添加到 .htaccess (如果可能)。这样,恶意脚本就不会具有相同的哈希值,并且当脚本更改时,两个哈希值也会自动更改。
-2
投票
投票
在这种情况下,最有效的做法是:
- 将所有内联脚本移动到一个或多个脚本文件,这些脚本文件由同一源提供,这已经是允许的,因为包含 script-src 'self'。
- 为所有脚本标签添加随机数。您可以对所有内容使用相同的随机数,但它必须在下次加载时更改。
如果您的任何脚本是动态的,则静态哈希将不起作用。
最新问题
- 浏览器自动将index.html添加到url
- 带有参数排序索引子集的索引数组
- ngx-image-viewer:图像未正确拖动。拖动图像使应用程序无响应
- Unity C Sharp 脚本不起作用我使用布尔函数来禁用/启用我的运动脚本
- 未捕获类型错误:无法读取未定义的属性(读取“setPopup”)
- 如何更改QTextOption.ShowTabsAndSpaces使用的字符?
- std::Optional 的替代品,可以报告失败原因
- 如何使用 Powershell 获取 MSI 属性:版本值(在 MECM 的检测方法规则中找到)?
- 客户在 woocommerce 注册时通过电子邮件确认
- C 中的全局文件指针
- 使用struct __sk_buff *skb从tc代码中获取PID
- 如果存在金丝雀但无法找出其价值,如何利用 BOF 漏洞
- MQTT 客户端未订阅给定主题(或回调未按预期工作)
- 每次调用特定的 make 目标时都从命令行调用更新 CMAKE 变量?
- 如何在Window上编译Steinberg ASIO SDK?
- 使用 array_push() 将二维数组的行追加到另一个二维数组
- 如何抑制来自 Perl 模块的错误消息?
- PHP - array_push 错误的 JSON 格式
- HttpClientModule 在 Angular 18 中已弃用,替代品是什么?
- 我可以在 MySQL 中生成的列表达式中使用局部变量吗?
© www.soinside.com 2019 - 2024. All rights reserved.