内容安全策略间歇性错误
Posted
技术标签:
【中文标题】内容安全策略间歇性错误【英文标题】:Content Security Policy intermittent error 【发布时间】:2021-11-22 02:49:34 【问题描述】:加载带有 CSP 的页面时出现间歇性错误 Firefox:“内容安全策略:页面设置阻止了内联资源(“script-src”)的加载。来源:...”
Chrome“内容安全策略指令'script-src'的源列表包含无效源:''nonce-YVV3G@Kk3ex7GMz53NWHlwAAADs''。它将被忽略。 list:1 拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self' 'nonce-YVV3G@Kk3ex7GMz53NWHlwAAADs' 'report-sample' ...”。启用内联执行需要 'unsafe-inline' 关键字、哈希 ('sha256-bcuD/K2TDYJ65gRxOp1yB9QFYhNqCOvbD35Sa/Pn/es=') 或随机数 ('nonce-...')。”
我正在使用随机数。 我不认为我有任何不属于随机数的内联内容。 阿帕奇配置:
<IfModule mod_headers.c>
Header set Content-Security-Policy "report-to '...'; "
Header set Content-Security-Policy "report-uri '...'; "
Header set Content-Security-Policy "default-src 'self'; "
Header set Content-Security-Policy "base-uri 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "object-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "connect-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "worker-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "child-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "frame-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "form-action 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "manifest-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Content-Security-Policy "media-src 'self' 'nonce-%UNIQUE_IDe'; "
Header set Referrer-Policy "no-referrer "
Header set Content-Security-Policy "style-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ...; "
Header set Content-Security-Policy "img-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ... ; "
Header set Content-Security-Policy "font-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ...; "
Header set Content-Security-Policy "script-src 'self' 'nonce-%UNIQUE_IDe' 'report-sample' ...;"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains "
Header edit Set-Cookie ^(.*)$ "$1;Secure;SameSite=Strict"
Header always set Content-Security-Policy "upgrade-insecure-requests; "
Header always set Content-Security-Policy "frame-ancestors 'self'; "
Header always set Content-Security-Policy "form-action 'self'; "
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection "0 "
</IfModule>
在页面中:
<script type="text/javascript" nonce="'.$_SERVER['UNIQUE_ID'].'">
导致
<script type="text/javascript" nonce="YVV3G@Kk3ex7GMz53NWHlwAAADs">
谢谢
【问题讨论】:
【参考方案1】:$_SERVER['UNIQUE_ID']
不适合nonce
:
它不会生成加密安全值。
生成的值可能包含对 'nonce-value'
无效的 @
字符 - 这就是错误具有间歇性行为的原因。
对于 Apache 2,请使用 mod_cspnonce 而不是 UNIQUE_ID。
【讨论】:
以上是关于内容安全策略间歇性错误的主要内容,如果未能解决你的问题,请参考以下文章