内容安全策略间歇性错误

Posted

技术标签:

【中文标题】内容安全策略间歇性错误【英文标题】:Content Security Policy intermittent error 【发布时间】:2021-11-22 02:49:34 【问题描述】:

加载带有 CSP 的页面时出现间歇性错误 Firefox:“内容安全策略:页面设置阻止了内联资源(“script-src”)的加载。来源:...”

Chrome“内容安全策略指令'script-src'的源列表包含无效源:''nonce-YVV3G@Kk3ex7GMz53NWHlwAAADs''。它将被忽略。 list:1 拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self' 'nonce-YVV3G@Kk3ex7GMz53NWHlwAAADs' 'report-sample' ...”。启用内联执行需要 'unsafe-inline' 关键字、哈希 ('sha256-bcuD/K2TDYJ65gRxOp1yB9QFYhNqCOvbD35Sa/Pn/es=') 或随机数 ('nonce-...')。”

我正在使用随机数。 我不认为我有任何不属于随机数的内联内容。 阿帕奇配置:

<IfModule mod_headers.c>
Header set Content-Security-Policy "report-to '...'; " 
Header set Content-Security-Policy "report-uri '...'; " 

Header set Content-Security-Policy "default-src 'self'; "
Header set Content-Security-Policy "base-uri 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "object-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "connect-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "worker-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "child-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "frame-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "form-action 'self' 'nonce-%UNIQUE_IDe'; " 
Header set Content-Security-Policy "manifest-src 'self' 'nonce-%UNIQUE_IDe'; " 
Header set Content-Security-Policy "media-src 'self' 'nonce-%UNIQUE_IDe'; "

Header set Referrer-Policy "no-referrer " 
Header set Content-Security-Policy "style-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ...; " 
Header set Content-Security-Policy "img-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ... ; " 
Header set Content-Security-Policy "font-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ...; "
Header set Content-Security-Policy "script-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ...;" 

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains "
Header edit Set-Cookie ^(.*)$ "$1;Secure;SameSite=Strict"
Header always set Content-Security-Policy "upgrade-insecure-requests; "
Header always set Content-Security-Policy "frame-ancestors 'self'; "
Header always set Content-Security-Policy "form-action 'self'; "
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection "0 "
</IfModule>

在页面中:

<script type="text/javascript" nonce="'.$_SERVER['UNIQUE_ID'].'">

导致

<script type="text/javascript" nonce="YVV3G@Kk3ex7GMz53NWHlwAAADs">

谢谢

【问题讨论】:

【参考方案1】:

$_SERVER['UNIQUE_ID']不适合nonce

    它不会生成加密安全值。

    生成的值可能包含对 'nonce-value' 无效的 @ 字符 - 这就是错误具有间歇性行为的原因。

对于 Apache 2,请使用 mod_cspnonce 而不是 UNIQUE_ID。

【讨论】:

以上是关于内容安全策略间歇性错误的主要内容,如果未能解决你的问题,请参考以下文章

连接到我的 api 时出现电子内容安全策略错误

内容安全策略 [错误] 拒绝加载脚本 safari

收到错误内容安全策略错误:拒绝创建工作人员

加载脚本时出现内容安全策略错误

facebook 聊天进入网站时出现内容安全策略错误?

Vimeo 内容安全策略错误 - 拒绝加载脚本