文件的内容安全策略哈希似乎不起作用
问题描述 投票:0回答:1
第 1 步:将 Bootstrap 4 的 SHA-384 完整性列出的 css 文件的原始副本下载到本地 Web 项目: https://getbootstrap.com/docs/4.0/getting-started/download/
在撰写本文时,他们的哈希值列为
sha384-Gn5384xqQ1aoWXA+058RXPxPg6fy4IWvTNh0E263XmFcJlSAwiGgFAW/dAiS6JXm第 2 步:在提供的 .html 文件的
<head><link rel="stylesheet" href="bootstrap.min.css" integrity="sha384-Gn5384xqQ1aoWXA+058RXPxPg6fy4IWvTNh0E263XmFcJlSAwiGgFAW/dAiS6JXm" >
第 3 步:为 html 文件提供一个
Content-Security-Policystyle-src-elem
预期结果: 文件的 sha-384 完整性哈希与 CSP 标头的哈希匹配,文件已加载并正常工作
实际结果(针对我测试的所有浏览器):
Refused to load the stylesheet 'https://localhost:8000/bootstrap.min.css' because it violates the following Content Security Policy directive: "style-src-elem 'sha384-Gn5384xqQ1aoWXA+058RXPxPg6fy4IWvTNh0E263XmFcJlSAwiGgFAW/dAiS6JXm' 'sha384-iFY+dCgFnB1nmk59trTsB2i1eTLIUAg+NhcRaA3bWZAqE9HK0ZSnZdOZ9NkoAs8S'".
我可以独立验证文件的哈希值确实正确,通过多种在线机制进行测试以生成 CSP 哈希值。
有人知道我在这里缺少什么吗?这应该可行,我是否错过了一步或配置错误?
我用来计算要检查的文件的哈希值的 C# 逻辑,它输出与 Bootstrap 提供的哈希值相同的哈希值:
private static string ComputeFileHash(IFileInfo file)
{
using var stream = file.CreateReadStream();
using var reader = new StreamReader(stream);
using var sha384= SHA384.Create();
var text = reader.ReadToEnd();
var utf = Encoding.UTF8.GetBytes(text);
var hash = sha384.ComputeHash(utf);
return "'sha384-" + Convert.ToBase64String(hash) + "'";
}
1个回答
0
投票
投票
我用这段代码来计算 CSP 哈希值,它对我有用:
static void Main(string[] args)
{
string[] fileEntries = Directory.GetFiles(".");
foreach (string fileName in fileEntries)
{
if (fileName.ToLower().EndsWith(".css") || fileName.ToLower().EndsWith("js"))
GetChecksum(fileName);
}
}
private static void GetChecksum(string file)
{
using (FileStream stream = File.OpenRead(file))
{
var sha = new SHA256Managed();
byte[] checksum = sha.ComputeHash(stream);
string r = System.Convert.ToBase64String(checksum);
Console.WriteLine(file + $" \t integrity=\"sha256-{r}\"");
}
}
}
最新问题
- Livewire 访问自定义输入元素标签值?
- 场景重新加载后 Unity 引用中断
- python正则表达式,多行匹配,但仍想获取行号
- 为什么 Alpine x-data 对其自身的属性变化没有反应?
- 如何在COUNTUNIQUEIFS函数中使用OR逻辑?
- 在 STM32F407 上使用带有 CRC 和 DMA 的 SPI,什么信号表示 CRC 传输结束?
- Google 表格:如何在 COUNTUNIQUEIFS 函数中使用 OR 逻辑?
- 为什么fish中的or操作符似乎不起作用
- 函数重载取决于编译时对象状态
- Flutter 通知:使用 flutter_local_notifications 输入操作直接回复聊天通知
- 我可以从同一个客户端在同一端口上与同一服务器建立超过 1 个 TCP 连接吗?具体到端口 445
- 用于更改汉堡行菜单长度并添加标注的 css
- 将类型动态传递给 JSONDecoder
- 如何将 HStack 中的标签与 Form 中标签的结果对齐?
- Regex - Java 中的特殊字符转义
- 有没有办法将一系列文本行写入网格窗口?
- 更高效的不透明度图像合成?
- 使用 dplyr 来改变以数字作为名称的列
- 不同数量级上点击事件的最近点
- 将 .NET 8 Blazor 应用程序降级到 .NET 6
© www.soinside.com 2019 - 2024. All rights reserved.