NodeJS 如何从内容安全策略中删除不安全内联和不安全评估?

oxiaedzo  于 2022-12-18  发布在  Node.js
关注(0)|答案(2)|浏览(241)

任何人都知道如何使用nonce从内容安全策略中删除不安全的内联和不安全的eval,任何人都有任何资源如何实现nonce,因为我无法正确实现它,我想我在node.js应用程序中得到错误。我已经尝试了 Helm , meta标记,设置头没有工作。

ahy6op9u

ahy6op9u1#

你不能删除带有随机数的“unsafe-eval”,你需要重写或替换代码。
nonce是很难的。你需要在CSP和代码中动态地插入nonce。它也需要随着每次页面加载而改变以保证安全。框架并不总是允许这样做。还要记住内联事件处理程序不是nonceable的,需要重写。我建议您尝试将所有静态脚本和样式重写到单独的文件中,然后看看是否仍然需要nonce来处理其余部分,或者是否可以处理它在其他方面。

oxcyiej7

oxcyiej72#

https://github.com/wyday/mod_cspnonce是一个Apache模块,可用于实现nonce来代替unsafe-inline。

相关问题