繁体 English 中英

CSP style-src SHA256 存在，但浏览器发出警告说它不是

[英]CSP style-src SHA256 present, but browser issues warning that it isn't

原文 2021-12-20 19:37:25 5 1 nginx/ content-security-policy

我已将以下 CSP 添加到我的 nginx 配置中：

add_header Content-Security-Policy "default-src 'none'; script-src 'self'; img-src *.gravatar.com; script-src-elem 'self' 'sha256-HeezHnLPgcw5524/5YMbWWQXJ/fdKZsQX5vG75t'1 -FVzC2JpGNv45prICvPCadmKf+wnLz6Eem3UQaAnTK/4=' 'sha256-Tr3bLHN4KJG2A/qFIDTX+Yb0nG+Z+HS9VAD6k0/r+vY=' 'sha256-NYk7Q8DQLjjJRwkQ9oG2juhRXSdsOjLWMy0IpXWymRc=' 'sha256-pu6oe0vPSMzzITPF3U0Z8qBWhbBKykixk7D9kFsDySY='; script-src-attr 'self'; style- src 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='; style-src-elem 'self' 'sha256-OyKg6OHgnmapAcgq002yGA58wB21FOR7EcTwPWSs54E=' 'sha256-CK/6NyEbsJb3V2Bo26t3s0V3RAi3gTWWrjUNGLIZLfw=' 'sha256-hc4UHa0RDFRaKgh++CLvhy5nf4yco/u+xPDeTrTejhg='; ";

我的浏览器 (Chrome) 发出以下警告：

拒绝应用内联样式，因为它违反了以下内容安全策略指令：“style-src 'self' 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='”。 启用内联执行需要“unsafe-inline”关键字、hash（“sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY=”）或随机数（“nonce-...”）。 请注意，哈希不适用于事件处理程序、样式属性和 javascript: 导航，除非存在“unsafe-hashes”关键字。

如您所见，hash style-src 'sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='存在并设置，但浏览器说仍然存在问题。

我无法解决这个问题。 有什么帮助吗？