Chrome 添加多个哈希不适用于内容安全策略

9bfwbjaz  于 2023-02-06  发布在  Go
关注(0)|答案(1)|浏览(121)

我有一个Blazor服务器端应用程序,我添加了_Host.cshtml<head>

<meta http-equiv="Content-Security-Policy" 
      content="base-uri 'self';
               default-src 'self';
               img-src data: https:;
               object-src 'none';
               script-src 'self';
               style-src 'self' 'unsafe-inline';
               upgrade-insecure-requests;">

我原来在控制台中报告的所有哈希值。但是错误仍然被报告。我不得不删除哈希值并添加unsafe-inline。我宁愿用哈希值代替。
我错过了什么?

dxpyg8gm

dxpyg8gm1#

最有可能的散列是内联事件属性,如onclick,onload等。这些属性不能被散列,但浏览器在错误中提供了它们。您需要用事件侦听器重写。

相关问题