Google的嚴格CSP 3,style-src?
[英]Google's Strict CSP 3, style-src?
問題描述
Google的工程師已經開發並建議使用嚴格的CSP: https : //csp.withgoogle.com/docs/strict-csp.html
目標是僅允許具有隨機數的腳本。 他們的CSP中沒有style-src指令,因此在我們的應用中,我可以加載Google字體,外部CSS表格等內容, 而不會產生隨機數。
這似乎是他們的CSP失誤了,還是我缺少了什么?
1 個解決方案
解決方案1
0 2017-10-11 10:36:27
我認為正在發生的事情是,他們建議使用較新的“嚴格動態”設置,以允許自動加載某些依賴項。
“嚴格動態”源表達式的目的是使內容安全策略更易於部署,這些應用程序對直接加載的腳本有高度信心,但對提供合理的加載資源列表的能力卻缺乏信心的現有應用程序面前。
它允許通過nonce或hash獲得訪問頁面權限的腳本引入其依賴關系,而無需將其明確添加到頁面策略中。
參考: https : //w3c.github.io/webappsec-csp/#strict-dynamic-usage
“使用 Google 登錄”按鈕是否需要 CSP style-src 'unsafe-inline'?
[英]Does the "Sign In with Google" button require CSP style-src 'unsafe-inline'?
什么 CSP 更安全 - style-src 'none' 或 style-src 'unsafe-inline'
[英]What CSP is safer - style-src 'none' or style-src 'unsafe-inline'
使用 CSP 運行 nextjs 開發模式,使用 nonce 運行“style-src”
[英]Running nextjs development mode with CSP and "style-src" with nonce
在普通 html 文件中對 script-src 和 style-src 使用 CSP 元標記
[英]Using CSP meta tag for script-src and style-src in normal html file
CSP-當動態放置頁面元素時,如何解決style-src unsafe-inline
[英]CSP - How to solve style-src unsafe-inline -when having dynamically positioned page elements
CSP style-src SHA256 存在,但瀏覽器發出警告說它不是
[英]CSP style-src SHA256 present, but browser issues warning that it isn't
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在 CSP 樣式-src 中不尊重 Sha 哈希
JQuery和Modernizr的Style-src CSP錯誤
“使用 Google 登錄”按鈕是否需要 CSP style-src 'unsafe-inline'?
什么 CSP 更安全 - style-src 'none' 或 style-src 'unsafe-inline'
CSP style-src: 'unsafe-inline' - 值得嗎?
CSP style-src:登陸頁面中的“unsafe-inline”
使用 CSP 運行 nextjs 開發模式,使用 nonce 運行“style-src”
在普通 html 文件中對 script-src 和 style-src 使用 CSP 元標記
CSP-當動態放置頁面元素時,如何解決style-src unsafe-inline
CSP style-src SHA256 存在,但瀏覽器發出警告說它不是
相關標簽