如何处理用户中心的CSP随机数? (uc-block.bundle.js)
问题描述 投票:0回答:1
我正在使用CSP;我在服务器端对策略进行了更改,然后在客户端使用nonce。它适用于一切。我只是对 UserCentries 有疑问。我仍然收到以下错误:
uc-block.bundle.js:1 拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self' 'nonce-cdbb69b0170fa85cd202dd223dc7de80' https://fonts.googleapis.com https: //*.iadvize.com”。启用内联执行需要“unsafe-inline”关键字、哈希值(“sha256-gxqnKDxRDSXGSNnZ1pqKxuJyI+PHG6Tvsbz7z9B4+ZI=”)或随机数(“nonce-...”)。
当我点击 Chrome 中的错误行时,它会转到该文件内的代码:
问题似乎是因为这里的 style 标签,它没有 nonce 属性。
我有一个
CspMiddlewarePolicypublic override async Task Invoke(IOwinContext context)
{
var randomNonce = Shared.Extensions.Extensions.GenerateNonce();
var isUmbracoRequest = context.Request.Uri.AbsolutePath.StartsWith("/umbraco");
var policy = new[] {
$"script-src 'self' {(isUmbracoRequest ? "'unsafe-inline'" : $"'nonce-{randomNonce}' 'strict-dynamic'")} {string.Join(" ", this._config?.ExternalUrls)}; " +
$"style-src 'self' {(isUmbracoRequest ? "'unsafe-inline'" : $"'nonce-{randomNonce}'")} {string.Join(" ", this._config?.ExternalCssUrls)}; " +
$"object-src 'self'; " +
$"report-uri /umbraco/api/helper/CreateCSPReport"
};
if (!context.Response.Headers.ContainsKey("Content-Security-Policy")) context.Response.Headers.Add("Content-Security-Policy", policy);
if (!context.Response.Headers.ContainsKey("X-Content-Security-Policy")) context.Response.Headers.Add("X-Content-Security-Policy", policy);
if (!context.Response.Headers.ContainsKey("X-Webkit-CSP")) context.Response.Headers.Add("X-Webkit-CSP", policy);
if (!isUmbracoRequest) context.Response.Headers.Add("X-Nonce", new[] { randomNonce });
await Next.Invoke(context);
}
在剃刀页面上,我得到
nonceUserCentries@{
var xNonce = HttpContext.Current.Response.Headers.GetValues("X-Nonce")?.First();
}
<script type="application/javascript" src="https://privacy-proxy.usercentrics.eu/latest/uc-block.bundle.js" nonce="@xNonce"></script>
当我在浏览器中检查时,我可以看到已添加到此脚本中的
nonce如何处理此特定脚本(
uc-block.bundle.js)的
nonce?
谢谢你。
1个回答
投票
您的依赖项是将内联样式元素附加到您的文档中。依赖项中似乎不支持随机数,因此您必须求助于其他解决方案。您可以尝试将提到的哈希添加到 style-src 中。由于存在三元运算符,您可能必须为两者添加哈希值,如果您不容易重现这两种情况,可以使用 https://report-uri.com/home/hash 来计算哈希值。
如果脚本输出是动态的,则需要添加太多哈希值。那么您可能需要求助于允许“不安全内联”。如果您限制了 CSP 的其余部分,这毕竟还不算太糟糕,请参阅 https://scotthelme.co.uk/can-you-get-pwned-with-css/,但并非所有扫描仪和安全性不过测试人员很容易同意。
最新问题
- CakePHP 最快更好的合并数组
- 使用 jspsyche 插件 (jspsych-libet) 在 Javascript 中播放声音时出现延迟
- 启用JavaScript和cookie以继续邮递员中的错误
- EGLImageTargetTexture2DOES 目标参数,何时使用 TEXTURE_EXTERNAL_OES 与 TEXTURE_2D
- 设置 ItemIgnoresTransformations 标志时如何将 QGraphicsItem 定位在父级右上角?
- 逐一检测 URL/链接
- 在golang中使用CString和cgo时如何正确释放内存?
- vba 存储要从非活动窗口粘贴的值
- 如何使用BeanUtils.copyProperties?
- 如何追加 JSON 嵌套数组?
- 使用 libgpio V1,如何在 Raspberry Pi 4 上设置给定线路的内部上拉?
- 我正在尝试在 Tailwind CSS 中添加一个类:
- Share.RequestAsync() 在 MAUI 应用程序中不起作用
- 向公式添加额外变量
- 为什么命令“npm start”在我的 Electron 框架项目上不起作用?
- 操纵桌面图标的位置
- 带会话的无头 Chrome PDF 打印
- 如何使用 std::chrono + MSVC 2022 + Windows 11 获取美国/蒙特利尔时区
- 深度学习中如何使用正确的窗口采样来防止数据泄露
- Android NumberPicker 小部件在 Jetpack Compose HorizontalPager 中无法正常工作