在 CSP 样式-src 中不尊重 Sha 哈希

Question

我有一个使用asp-validation-summary的 ASP.NET Web 应用程序。 因此，我的页面中的 HTML 元素中添加了内联style 。

当我运行我的应用程序时，这在控制台（Chrome v78.0.3904.108）中给了我以下错误：

拒绝应用内联样式，因为它违反了以下内容安全策略指令：“style-src 'self' https://fonts.googleapis.com ”。 启用内联执行需要“unsafe-inline”关键字、哈希（“sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='）或随机数（“nonce-...”）。

所以我将哈希添加到我的 CSP 中，现在看起来像这样：

style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE=';

当我加载我的页面时，我仍然收到类似的错误：

拒绝应用内联样式，因为它违反了以下内容安全策略指令：“style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='”。 启用内联执行需要“unsafe-inline”关键字、哈希（“sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='）或随机数（“nonce-...”）。

这是整个 CSP 标头：

X-Content-Security-Policy: default-src 'self'; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self'; upgrade-insecure-requests; style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='; font-src 'self' https://fonts.gstatic.com;

正如你所看到的，我已经添加了哈希，正如错误中所暗示的那样。 它似乎也是一个有效的 header 。

但为什么这不起作用？

Answer 1

您必须添加unsafe-hashes 。
unsafe-hashes允许启用特定的内联事件处理程序。 如果您只需要允许内联事件处理程序而不是内联元素或 javascript: URL，则与使用 unsafe-inline 表达式相比，这是一种更安全的方法。

来源： https : //developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src