有没有办法一次生成所有内容安全策略内联哈希? (WordPress)

【问题标题】:Is there a way to generate all Content Security Policy inline hashes at once? (Wordpress)有没有办法一次生成所有内容安全策略内联哈希? (WordPress)
【发布时间】:2021-01-06 07:15:29
【问题描述】:

我正在根据集成本地银行支付网关的要求为 Wordpress 网站构建内容安全策略。可悲的是,许多内联脚本是 Wordpress 的一部分,它是插件。我必须手动将生成并显示在控制台中的哈希列入白名单。我补充说:

Header set Content-Security-Policy "default-src 'none'; script-src 'self' 'sha256-#RANDOM_CHARACTERS'

sha256-#RANDOM_CHARACTERS(取自控制台)

我必须一个一个地手动提取这些哈希值。有没有更有效的方法?

我在 GITHUB 上发现了以下内容: AutoCSP

理想情况下,这应该会生成类似这样的内容,我可以将其复制并粘贴到 CSP 中,但它根本不适合我。也许我做错了什么。

【问题讨论】:

    标签: javascript wordpress .htaccess sha256 content-security-policy


    【解决方案1】:

    在这种情况下,最有效的做法是:

    1. 将所有内联脚本移动到一个或多个脚本文件,从同一来源提供服务,因为包含 script-src 'self',所以已经允许这样做。
    2. 为所有脚本标签添加一个随机数。您可以对所有人使用相同的 nonce,但它必须在下次加载时更改。

    如果您的任何脚本是动态的,则静态哈希将不起作用。

    【讨论】:

      猜你喜欢
      • 2016-06-28
      • 1970-01-01
      • 2021-09-19
      • 1970-01-01
      • 1970-01-01
      • 2022-12-01
      • 2021-09-28
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode