在 Firefox 中使用 csp sha-256 将内联脚本列入白名单

Question

我无法通过校验和获得白名单以在 Firefox（52.0.2，Windows）中工作。 Firefox根据caniuse支持内容安全策略版本2，所以应该支持校验和。

当 chrome 阻止内联脚本时，它会将所需的 sha-256 打印到控制台。 将其添加到 csp 规则成功地将脚本列入白名单。 校验和也与计算的相同 https://report-uri.io/home/hash

但火狐拒绝接受。

我注意到 MDN 文档中的示例使用 base-16 而不是 base-64 编码作为校验和。 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src

但即使使用 MDN 示例，我也得到了相同的结果。 （也 chrome 拒绝使用 base-16 编码）。我尝试了以下几种变体：

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <meta http-equiv="Content-Security-Policy"
          content="script-src 'sha256-076c8f1ca6979ef156b510a121b69b6265011597557ca2971db5ad5a2743545f'">
    <title>Hello CSP</title>
</head>
<body>
    <script type="text/javascript">var inline = 1;</script>
</body>
</html>

内容安全策略：页面的设置阻止了自身资源的加载（“script-src 'sha256-076c8f1ca6979ef156b510a121b69b6265011597557ca2971db5ad5a2743545f'”）。来源：var inline = 1;。

Answer 1

我无法完全放下这件事，因为显然发生了一些奇怪而令人困惑的事情。我发现了一些有趣的事情：

• 采用适用于 Chrome 和 Firefox 的有效 sha-256。
• 将每个+ 替换为-，将每个/ 替换为_。

瞧！您有一个适用于 Chrome 但不适用于 Firefox 的校验和。从Base64 variants来看，这种格式并没有不合理。

事实证明，基于 Chrome 45 的 Dartium browser 以“替代格式”发出校验和，这很可能是它进入我的剪贴板的方式。

这仅适用于 Chrome：

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'sha256-LqkgOOr2rKDFd7Yl4hZ4H8nB0Stbc-RDo573pA7E/XU='">

    <title>Hello CSP</title>

    <script type="text/javascript">alert("running");</script>
</head>
</html>

Answer 2

如果您按以下方式更改哈希值，它将起作用：

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <meta http-equiv="Content-Security-Policy"
        content="script-src 'sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8='">
  <title>Hello CSP</title>
</head>
<body>
  <script type="text/javascript">var inline = 1;</script>
</body>
</html>

不确定为什么您会在 Chrome 中看到您描述的行为；当我在 Chrome 中测试问题中的示例时，它会阻止脚本并发出一条错误消息，说明使用哈希值 sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8=。

当给定var inline = 1; 时，https://report-uri.io/home/hash 也会输出该值。