内容安全策略间歇性错误

【问题标题】:Content Security Policy intermittent error内容安全策略间歇性错误
【发布时间】:2021-11-22 02:49:34
【问题描述】:

加载带有 CSP 的页面时出现间歇性错误 Firefox:“内容安全策略:页面设置阻止了内联资源(“script-src”)的加载。来源:...”

Chrome“内容安全策略指令'script-src'的源列表包含无效源:''nonce-YVV3G@Kk3ex7GMz53NWHlwAAADs''。它将被忽略。 list:1 拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self' 'nonce-YVV3G@Kk3ex7GMz53NWHlwAAADs' 'report-sample' ...”。启用内联执行需要 'unsafe-inline' 关键字、哈希 ('sha256-bcuD/K2TDYJ65gRxOp1yB9QFYhNqCOvbD35Sa/Pn/es=') 或随机数 ('nonce-...')。”

我正在使用随机数。 我不认为我有任何不属于随机数的内联内容。 阿帕奇配置:

<IfModule mod_headers.c>
Header set Content-Security-Policy "report-to '...'; " 
Header set Content-Security-Policy "report-uri '...'; " 

Header set Content-Security-Policy "default-src 'self'; "
Header set Content-Security-Policy "base-uri 'self' 'nonce-%{UNIQUE_ID}e'; "
Header set Content-Security-Policy "object-src 'self' 'nonce-%{UNIQUE_ID}e'; "
Header set Content-Security-Policy "connect-src 'self' 'nonce-%{UNIQUE_ID}e'; "
Header set Content-Security-Policy "worker-src 'self' 'nonce-%{UNIQUE_ID}e'; "
Header set Content-Security-Policy "child-src 'self' 'nonce-%{UNIQUE_ID}e'; "
Header set Content-Security-Policy "frame-src 'self' 'nonce-%{UNIQUE_ID}e'; "
Header set Content-Security-Policy "form-action 'self' 'nonce-%{UNIQUE_ID}e'; " 
Header set Content-Security-Policy "manifest-src 'self' 'nonce-%{UNIQUE_ID}e'; " 
Header set Content-Security-Policy "media-src 'self' 'nonce-%{UNIQUE_ID}e'; "

Header set Referrer-Policy "no-referrer " 
Header set Content-Security-Policy "style-src 'self' 'nonce-%{UNIQUE_ID}e' 'report-sample' ...; " 
Header set Content-Security-Policy "img-src 'self' 'nonce-%{UNIQUE_ID}e' 'report-sample' ... ; " 
Header set Content-Security-Policy "font-src 'self' 'nonce-%{UNIQUE_ID}e' 'report-sample' ...; "
Header set Content-Security-Policy "script-src 'self' 'nonce-%{UNIQUE_ID}e' 'report-sample' ...;" 

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains "
Header edit Set-Cookie ^(.*)$ "$1;Secure;SameSite=Strict"
Header always set Content-Security-Policy "upgrade-insecure-requests; "
Header always set Content-Security-Policy "frame-ancestors 'self'; "
Header always set Content-Security-Policy "form-action 'self'; "
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection "0 "
</IfModule>

在页面中:

<script type="text/javascript" nonce="'.$_SERVER['UNIQUE_ID'].'">

导致

<script type="text/javascript" nonce="YVV3G@Kk3ex7GMz53NWHlwAAADs">

谢谢

【问题讨论】:

    标签: javascript apache content-security-policy nonce


    【解决方案1】:

    $_SERVER['UNIQUE_ID']不适合nonce

    1. 它不会生成加密安全值。

    2. 生成的值可能包含对 'nonce-value' 无效的 @ 字符 - 这就是错误具有间歇性行为的原因。

    对于 Apache 2,请使用 mod_cspnonce 而不是 UNIQUE_ID。

    【讨论】:

      猜你喜欢
      • 2015-09-17
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-12-13
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode