未检测到 CSP 标头

【问题标题】:CSP header not detected未检测到 CSP 标头
【发布时间】:2019-02-27 18:55:37
【问题描述】:

由于某种原因,Mozilla Observatory 和 CSP 验证器都没有检测到我的 .htaccess 文件中的 CSP 标头,但在通过 Chrome 查看时标头是可见的。

这是我的 .htaccess 文件中当前的 CSP 标头;

Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;

我还注意到 nonce 不起作用,内联脚本仍然在没有 nonce 的情况下加载,但如果我对 CSP 进行修改,它可能会限制脚本执行和内联元素的显示。

信息: 服务器是光速。 PHP版本是7.1

【问题讨论】:

    标签: content-security-policy nonce


    【解决方案1】:

    通过将 .htaccess 中的行修改为以下内容解决了该问题;

     Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"

    现在唯一的问题是添加了 unsafe-inline,但从我读过的内容来看,严格动态和 nonce 不能作为跨平台解决方案工作,我必须为一些 onclick 事件使用内联 js。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-03-28
      • 2020-04-17
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-02-03
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode