【发布时间】:2021-02-10 02:09:20
【问题描述】:
我想为我的 CSP 指定一个允许字体的哈希值。
目前我的 default-src 是 none,然后对于 font-src 我有 'self'。
我的字体当前包含为数据,例如:“data:font/ttf;base64,AAEAAAARAQ...”
我想添加散列,而不是仅仅添加 data: 到我的 font-src。我不确定这是否可能,或者如何正确地做到这一点。我已将“data:font/ttf;base64,AAEAAAARAQ...”的 sha256 哈希值作为“sha256-asldfkj”包含在我的 font-src 中,但这不起作用。
任何见解将不胜感激!
【问题讨论】:
-
@granty 感谢您的链接,它回答了我的问题。我期待这个答案,但只是觉得这个文档 (developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…) 仍然以某种方式表明哈希是 font-src 的有效来源。您的链接清除了这一点。再次感谢!