我们正在尝试将 CSP 实施到我们的一个站点中,尽管我们了解如何允许或不允许脚本,但我们仍然对 nonce/sha* 部分感到困惑。我们有外部脚本,例如 bootstrap 和 jquery,它们带有完整性 =“sha*”,并且应避免使用内联脚本或样式。内联的所有内容都应重构为外部文件。
我们的问题是,我们是为我们站点(不是外部)中的每个 js 或 css 文件创建一个 sha* key/nonce-* 还是只是在 Content-Security- 中的 script-src/style-src 之后放置“self”政策够不够?
感谢您对此的任何帮助。
链接的 JavaScript 文件不需要 nonce;他们授权内联脚本标签。“self”(或 URL)授权链接文件。您必须做的清理工作是去掉 HTML 中的“onclick”属性。SHA 哈希值用于验证链接文件的完整性。
所以:
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句