有沒有辦法一次生成所有內容安全策略內聯哈希? (WordPress)
[英]Is there a way to generate all Content Security Policy inline hashes at once? (Wordpress)
問題描述
我正在根據集成本地銀行支付網關的要求為 Wordpress 網站構建內容安全策略。 可悲的是,許多內聯腳本是 Wordpress 及其插件的一部分。 我必須手動將生成並顯示在控制台中的哈希列入白名單。 我補充說:
Header set Content-Security-Policy "default-src 'none'; script-src 'self' 'sha256-#RANDOM_CHARACTERS'
sha256-#RANDOM_CHARACTERS(取自控制台)
我必須一個一個地手動提取這些哈希值。 有沒有更有效的方法來做到這一點?
我在 GITHUB 上發現了以下內容: AutoCSP
理想情況下,這應該會生成類似這樣的內容,我可以將其復制並粘貼到 CSP 中,但它根本不適用於我。 也許我做錯了什么。
1 個解決方案
解決方案1
-1 2020-09-23 04:44:17
在這種情況下,最有效的做法是:
- 將所有內聯腳本移動到一個或多個腳本文件中,這些文件來自同一源,因為包含了 script-src 'self',這已經被允許。
- 向所有腳本標簽添加一個隨機數。 您可以始終使用相同的隨機數,但它必須在下次加載時更改。
如果您的任何腳本是動態的,則靜態哈希將不起作用。
內容安全策略:CSP 是否應該包含外部腳本的哈希?
[英]Content Security Policy: Should a CSP contain hashes for external scripts?
(CSP) 內容安全策略。 處理從外部庫添加的內聯 styles 的方法
[英](CSP) Content Security Policy. Way to handle inline styles added from external liblary
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.