将多个 SHA256 哈希添加到内容安全策略

问题描述 投票:0回答:1

确实无法在任何地方找到此问题的解决方案。目前正在尝试将多个 SHA256 哈希添加到内容安全策略中,如下所示:

default-src 'self' 'sha256-UITiqbXyaWS7NpwiFrMIbdXAZy5EXLRUHkpylF4504k=' 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY=';

但是,这样做似乎没有什么区别,只是返回:

拒绝应用内联样式,因为它违反了以下内容安全策略指令:

"default-src 'self' 'sha256-UITiqbXyaWS7NpwiFrMIbdXAZy5EXLRUHkpylF4504k=' 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='

知道如何向此策略添加多个哈希吗?

已尝试根据标准 

default-src 'self'
政策添加多个哈希值,并在其自己的单引号中添加由空格分隔的哈希值。仅当有一个哈希值但想要添加多个哈希值时才有效。

asp.net vb.net security webforms content-security-policy
1个回答
-2
投票

您的策略语法似乎没问题。我认为该行为最可能的原因是:

  1. 脚本代码的变化。哈希值仅适用于静态脚本代码。如果代码更改,哈希值将需要更改,这意味着您需要动态计算它并插入 CSP、将变量移出脚本代码或使用随机数。
  2. 编写事件属性的脚本,例如“onClick”。这些只能在 CSP 级别 3 中支持“不安全哈希”的情况下允许。使用事件处理程序重写。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.