程序员经验分享-hwhale

属性内内联 JS 的 CSP 哈希或随机数

2024-02-18

内容安全策略的新手,所以不确定这是否可能,但想知道如何为 HTML 元素的属性中的某些内联脚本添加哈希或随机数。

例如:

<form method="post" onsubmit="function();">

在 Google Chrome 中出现以下 CSP 错误:

拒绝执行内联事件处理程序,因为它违反了 以下内容安全策略指令:“script-src 'self'. “unsafe-inline”关键字、哈希值(“sha256-...”)或随机数 ('nonce-...') 需要启用内联执行。

我尝试过仅对脚本进行哈希处理,例如function();onsubmit="function"两者都不起作用。我尝试向表单元素添加一个随机数,但这没有帮助。

如果需要,我可以将事件绑定移到元素属性之外,只是好奇是否有办法通过上述方式遵守 CSP。


转到您的内容被阻止的端点。查看浏览器上的控制台。您的浏览器将通知被阻止的内容,并且还会为您提供通过 CSP 解锁该内容所需的哈希值。

Source: https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/ https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

javascript

html

contentsecuritypolicy

属性内内联 JS 的 CSP 哈希或随机数 的相关文章

  • 如何使用有角度的材料创建卡片网格?

    我正在尝试使用 ng repeat 创建每行三张卡片的网格 我有一个普通的 javascript 对象数组附加到范围 下面的代码将为每张卡创建一个新行 div div

  • 为什么 window 与 Internet Explorer 中的 window.self 不同?

    关于我如何遇到这个问题有一个复杂的背景故事 但为什么self属性不完全等于窗口本身 在 Safari 和 Firefox 及其朋友中 结果如我所料 gt window window self true gt window window se

  • Number.IsNaN() 比 isNaN() 更糟糕吗

    Soooooo isNaNJavaScript 显然被破坏了 比如 isNaN isNaN isNaN true isNaN false isNaN 0 返回 false 当它们看起来都是 不是数字 在 ECMAScript 6 中 草案包

  • 如何使用javascript确保元素仅在圆上朝一个方向移动?

    好吧 我承认我对三角学真的很糟糕 出于上下文的考虑 我将添加我在这里提到的问题中的内容 参考问题 https stackoverflow com a 39429290 168492 https stackoverflow com a 394

  • 如何在网站上使用 svg 元素制作块的屏幕截图?

    我在网站上创建了一个构造函数 其本质是将所选元素及其颜色 svg中的元素 添加到访问者选择的背景和背景颜色 png中的背景 中 然后必须单击 保存 结果 按钮并仅执行工作区的屏幕截图 我写了这个脚本 但它需要屏幕截图 但只有背景 并忽略选定

  • 按下回车键时不刷新页面

    我遇到了一些问题 只要表单中有输入 回车键就会触发页面刷新 下面的代码 如果按下回车并且文本区域 input 中没有输入任何文本 则不会刷新页面 但是如果按下回车并且 input中有输入或者光标位于文本区域 我不确定是什么触发了它 因为 s

  • React autoFocus 将光标设置为输入值的开头

    我有一个受控输入 最初显示一个值 我已将该输入设置为自动聚焦 但当我希望它出现在末尾时 光标出现在输入的开头 我知道这可能是因为自动对焦是在值之前添加的 但我不能 100 确定 在输入字段末尾完成光标初始化的最佳方法是什么 var Test

  • 如何通过单击链接来更改 div 的内容?

    这是我的网页的 修改后的 jsfiddle 它还有很多 而且定位是正确的 与此相反 http jsfiddle net ry0tec3p 1 http jsfiddle net ry0tec3p 1 a href class btn1 st

  • 计算三次贝塞尔曲线的弧长、曲线长度。为什么不工作?

    我正在用这个算法计算弧长 三次贝塞尔曲线的长度 function getArcLength path var STEPS 1000 gt precision var t 1 STEPS var aX 0 var aY 0 var bX 0

  • 如何在另一个自定义 Hook 中使用返回值的自定义 Hook?

    我正在使用 React native 其中有一个名为的自定义 HookuseUser使用以下方法从 AWS Amplify 获取用户信息Auth getUserInfro方法 然后获取返回对象的一部分并用它设置一个状态变量 我还有另一个名为

  • 如何计算特定字符在字符串中出现的次数

    我正在尝试创建一个函数来查看数组中的任何字符是否在字符串中 如果是 有多少个 我尝试计算每一种模式 但是太多了 我尝试使用 Python 中的 in 运算符的替代方案 但效果不佳 function calc fit element var

  • 改变 JavaScript 中的顶部填充

    以下是我在 css 中设置顶部填充的方法 body font size font size px margin 0 padding 100px 0 20px 0 width 100 important 如何使用最简单的 javascript

  • LeafleteachLayer函数不会迭代所有Layer

    使用 GeoJSON 数据数组创建一些标记 getJSON GetLocationsServlet function data L geoJSON data onEachFeature onEachFeature addTo mymap G

  • JavaScript eval("{}") 返回行为?

    根据ECMA 262 规范 http www ecma international org publications files ECMA ST Ecma 262 pdf 以下语句返回1 eval 1 eval 1 eval 1 var a

  • 使用 Javascript 设置 cookie [重复]

    这个问题在这里已经有答案了 我正在尝试构建我的第一个移动应用程序 它需要连接到我的 mysql 数据库并使用 json 返回数据 这很好 目前我有一个登录系统 一旦确定用户名和密码存在 它就会返回一条成功消息 对于下一步 我想在我的页面上使

  • 如何使用 JavaScript 或 jQuery 克隆 HTML 元素的样式对象?

    我正在尝试克隆元素的样式对象 这应该允许我在更改后重置所述元素的样式 例如 el style left 50px curr style left 50px Modify the elements style The cloned style

  • 使用 Jade 评估自定义 javascript 方法 (CircularJSON)

    我想通过 Jade 将一个对象解析为客户端 JavaScript 通常这会起作用 script var object JSON parse JSON stringify object but my object is circular ht

  • 什么是 WKWebView 中的 WKErrorDomain 错误 4

    fatal error LPWebView encounters an error Error Domain WKErrorDomain Code 4 A JavaScript exception occurred UserInfo 0x7

  • 仅当显式选择行时才关闭 ui-bootstrap typeahead

    我创建了这个jsBin http jsbin com livuqafe 2 edit来证明我遇到的问题 如果您转到此处 请尝试输入 五 并继续 你的自然反应是输入 五 然后按 Tab 如果你想要 五百 你可以向下箭头一次 但是 在这种情况下

  • 没有输入的 jQuery 日期选择器

    我有一个相当复杂的网络应用程序 我想向其中添加一些日期选择 UI 我遇到的问题是我无法从文档中弄清楚如何真正控制日期选择器的出现方式和时间 不涉及任何表单元素 不 我不会添加秘密表单字段 因此简单的开箱即用方法根本行不通 我希望有人可以提供

随机推荐

  • C#泛型方法重载与抽象访问者模式不一致

    在尝试访问者模式和泛型方法时 我发现 C NET 中存在某种差异 据我所知 C 编译器更喜欢显式重载而不是泛 型方法 因此以下代码 public abstract class A public abstract void Accept Vi

  • 回拨例程

    In the Learning OpenCV书 我来到这个词callback 有时与routine as callback routine 当我们说的时候我们是什么意思callback Thanks 什么是回调函数 简单来说 一个回调函数是

  • 德摩根规则解释

    你能解释一下吗德摩根规则 https en wikipedia org wiki De Morgan 27s laws尽可能简单 例如对于只有中学数学背景的人 布尔代数概述 我们有两个价值观 T and F 我们可以通过三种方式组合这些值

  • Crontab - 每 3 小时重新启动 apache [关闭]

    Closed 这个问题是无关 help closed questions 目前不接受答案 由于访问者滞后 我的服务器目前遇到了一些问题 我认为最好的解决方案是每 2 3 小时左右重新启动 apache我如何通过 cronjob 来做到这一点

  • PHP image卷积() 在左上角留下黑点

    我正在尝试使用以下代码锐化调整大小的图像 imageconvolution imageResource array array 1 1 1 array 1 16 1 array 1 1 1 8 0 当透明PNG图像被锐化时 使用上面的代码

  • 将变量从自定义服务器传递到 NextJS 中的组件

    我已经在 NextJS 中设置了一个自定义服务器 如图所示here https github com zeit next js custom server and routing用于自定义路由 服务器 js app prepare then

  • 在networkx图上显示边权重

    我有一个包含 3 列的数据框 f1 f2 和分数 我想绘制一个图表 使用 NetworkX 来显示节点 在 f1 和 f2 中 和边缘值作为 分数 我能够用节点及其名称绘制图表 但是 我无法显示边缘分数 有人可以帮忙吗 这是我到目前为止所拥

  • mPDF自动打印问题

    我正在使用 php 类 mpdf 它可以很好地生成 PDF 我试图让文件在渲染时自动打印 即打开打印对话框 我使用下面的代码扩展了核心功能 将 JavaScript 添加到 pdf 中 pdf 已渲染 但没有自动打印 任何帮助都会很棒 谢谢

  • 如何在 Gitlab CI 的构建脚本中设置(环境)变量?

    我有一个虚拟构建脚本Gitlab CI pwd ci app path pwd echo INFO current directory ci app path 当系统开始构建过程时 我得到以下输出 pwd home kai gitlab r

  • 打开以http开头但不以www开头的链接

    我想打开以 www 开头的链接 但他们打不开 我的代码仅适用于http 请帮助 gt 我是 iOS 新手 我将非常感激 BOOL webView UIWebView webView shouldStartLoadWithRequest NS

  • DateTime.UtcNow 提前 4 小时

    我看到了一些关于如何纠正这个问题的答案 我有一个 DateTime 类型的对象 我已分配该对象 如下所示 obj TimeStamp DateTime UtcNow 我似乎无法找到正确的组合或代码操作来获得正确的日期和时间 它总是比当前时间

  • python:在交互模式下忽略前导“>>>”和“...”?

    许多在线 python 示例显示交互式 python 会话 每行前面都有正常的前导 gt gt gt 和 字符 通常 如果不获取这些前缀 就无法复制此代码 在这些情况下 如果我想在复制后将此代码重新粘贴到我自己的 python 解释器中 我

  • Android上的“覆盖”尺寸可以与谷歌地图一起缩放吗?

    我已经能够使用 MapActivity 和 ItemizedOverlay 通过 Eclipse 在 Android 上的谷歌地图上绘制叠加层 但是当地图放大和缩小时 叠加层的大小不会改变 我希望叠加层 固定 在地图上 并随地图一起放大和缩

  • GWT 错误:“gwt-module.dtd”中有“1”错误

    我正在学习 GWT 并尝试运行它沃盖拉的教程 https www vogella com tutorials GWT article html 在 Windows 10 和 JDK 11 上使用 Eclipse GWT 插件 3 0 我在第

  • 如何使用 hasNextInt() 捕获异常?我需要 Int 但如果输入是字符,那就不好了

    我一直在尝试阻止异常 但我不知道如何阻止 我试过parseInt java util NormalExceptionMismatch etc 有谁知道如何解决这个问题 由于复制和粘贴 格式有点不对 do System out print H

  • 快速检查 3D Touch 是否可行

    在我的应用程序中 我将显示设置 只有当设备支持 3D Touch 时 这些设置才应该可见 目前我检查设备是否有ios9 if available iOS 9 0 问题是 例如 iPhone 6 有 iOS 9 但没有 3D Touch 如何

  • 在64位linux上安装python 32位

    我基本上有两个问题 如何在 Linux 上安装 32 位 python 和 64 位 python 如何修复因以下失败尝试而损坏的系统 我只是尝试在 linux mint 16 上安装 32 位 python 和 64 位 python 它

  • Docker 上的 Airflow - 路径问题

    使用气流我尝试简单的 DAG 工作 我编写了自定义运算符和其他文件 我想将它们导入到 DAG 逻辑所在的主文件中 这里是文件夹的结构 airflow cfg dags init py dag py sql statements sql do

  • Young GC导致Metaspace增加,而不是Old Gen

    从 JDK7 迁移到 JDK 8 时 我开始看到频繁的 Full GC GC 延迟更高 分析gc后发现 young GC后 metaspace使用量增加 而old gen使用量保持不变 我已将最大元空间大小 等于 JDK7 中的 Perm

  • 属性内内联 JS 的 CSP 哈希或随机数

    内容安全策略的新手 所以不确定这是否可能 但想知道如何为 HTML 元素的属性中的某些内联脚本添加哈希或随机数 例如

热门标签