我正在按照集成本地银行支付网关的要求为WordPress网站构建内容安全策略。可悲的是,很多内联脚本都是WordPress及其插件的一部分。我必须手动将生成的哈希列在白名单中并显示在控制台中。我补充说:
Header set Content-Security-Policy "default-src 'none'; script-src 'self' 'sha256-#RANDOM_CHARACTERS'sha 256-#RANDOM_CHARACTERS(取自控制台)
我必须一个接一个地手动提取这些散列。有没有更有效的方法来做到这一点?
我突然发现下面的内容由Gobyub提供:AutoCSP
这应该理想地生成这样的东西,我可以只是复制和粘贴在CSP,但它不为我工作。也许我做错了什么。
2条答案
按热度按时间j13ufse21#
@halvor我在script-src ánd 'strict-dynamic'前面有三个哈希值,它们工作得很好,没有错误。
当你使用“strict-dynamic”时,建议使用nonce或hash(它排除了URL,最好是散列所有脚本而不是使用URL,因为你永远不能确定CSP中的受信任域永远不会被黑客攻击,如果它会,那么你的散列会阻止CSP中散列的代码执行)。
ulydmbyx2#
在这种情况下,最有效的方法是:
1.将所有内联脚本移动到一个或多个脚本文件中,从同一个源提供,这已经被允许,因为包含了script-src 'self'。
1.为所有脚本标记添加一个随机数。您可以为所有脚本标记使用相同的随机数,但它必须在下次加载时更改。
如果您的任何脚本是动态的,静态哈希将无法工作。