我有内联 JavaScript,它只在 src 标签中包含
jQuery.noConflict();
。我尝试将此字符串插入 SHA256 生成器,它给了我1B631C545E0E9ACDA2FA9ADEF7CE9415A95FC6A325EA80268D1793BF913180AE
,它甚至看起来不像是添加到我的内容安全策略白名单中的有效格式。
幸运的是,chrome 显示了预期的哈希值
sha256-ewwxYHPE+l68SkoQL0cNlN2qNMJgDV+Bu7SNHV7o76k=
,所以我可以将其添加到我的白名单中。不过,我还是很好奇我做错了什么
尝试像这样的在线哈希生成器:
https://approsto.com/sha-generator(不再工作)
正如@sideshowbarker在他们的评论中提到的,sha256值是base64编码的,因此它变成了明文,可以安全地在http标头中使用。