内容安全策略的新手,所以不确定这是否可能,但想知道如何为 HTML 元素的属性中的某些内联脚本添加哈希或随机数。
例如:
<form method="post" onsubmit="function();">
在 Google Chrome 中出现以下 CSP 错误:
拒绝执行内联事件处理程序,因为它违反了
以下内容安全策略指令:“script-src 'self'.
“unsafe-inline”关键字、哈希值(“sha256-...”)或随机数
('nonce-...') 需要启用内联执行。
我尝试过仅对脚本进行哈希处理,例如function();
也onsubmit="function"
两者都不起作用。我尝试向表单元素添加一个随机数,但这没有帮助。
如果需要,我可以将事件绑定移到元素属性之外,只是好奇是否有办法通过上述方式遵守 CSP。
转到您的内容被阻止的端点。查看浏览器上的控制台。您的浏览器将通知被阻止的内容,并且还会为您提供通过 CSP 解锁该内容所需的哈希值。
Source: https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/ https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)