[英]Sha hash not respected in CSP style-src
我有一个使用asp-validation-summary
的 ASP.NET Web 应用程序。 因此,我的页面中的 HTML 元素中添加了内联style
。
当我运行我的应用程序时,这在控制台(Chrome v78.0.3904.108)中给了我以下错误:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self' https://fonts.googleapis.com ”。 启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE=')或随机数(“nonce-...”)。
所以我将哈希添加到我的 CSP 中,现在看起来像这样:
style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE=';
当我加载我的页面时,我仍然收到类似的错误:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='”。 启用内联执行需要“unsafe-inline”关键字、哈希(“sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE=')或随机数(“nonce-...”)。
这是整个 CSP 标头:
X-Content-Security-Policy: default-src 'self'; object-src 'none'; frame-ancestors 'none'; sandbox allow-forms allow-same-origin allow-scripts; base-uri 'self'; upgrade-insecure-requests; style-src 'self' https://fonts.googleapis.com 'sha256-aqNNdDLnnrDOnTNdkJpYlAxKVJtLt9CtFLklmInuUAE='; font-src 'self' https://fonts.gstatic.com;
正如你所看到的,我已经添加了哈希,正如错误中所暗示的那样。 它似乎也是一个有效的 header 。
但为什么这不起作用?
您必须添加unsafe-hashes
。
unsafe-hashes
允许启用特定的内联事件处理程序。 如果您只需要允许内联事件处理程序而不是内联元素或 javascript: URL,则与使用 unsafe-inline 表达式相比,这是一种更安全的方法。
来源: https : //developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.