CSP style-src 无法识别 SHA?

CSP style-src failing to recognize SHA?

提问人:Adam 提问时间:2/12/2016 更新时间:2/12/2016 访问量:1374

问:

这是我从 Chrome 开发工具收到的直接错误消息:

拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'sha256-1nVQdHiAzq+yQt4PZ8OE7a29XlxBFIzESqqj+rz4Jdc=' 'self'”。也 “unsafe-inline”关键字,哈希值 ('sha256-1nVQdHiAzq+yQt4PZ8OE7a29XlxBFIzESqqj+rz4Jdc='),或随机数 ('nonce-...') 是启用内联执行所必需的。

现在在我看来,它是在说带有哈希的策略不包含所需的哈希。我的语法中是否遗漏了什么?我也从Firefox收到CSP错误(尽管细节较少)。

下面是直接的标题:

Content-Security-Policy:default-src 'self'; style-src 'sha256-1nVQdHiAzq+yQt4PZ8OE7a29XlxBFIzESqqj+rz4Jdc=' 'self';
CSS 安全性

评论

0赞 Paulie_D 2/12/2016
您正在尝试应用哪种内联 CSS 样式?
0赞 Adam 2/12/2016
我们一直在试图追踪它,但我相信它是 Angular.js 和我们的缩小过程的结合。在我们有周期来根除它之前,我们只想允许它作为白名单例外。
0赞 Barry Pollard 2/12/2016
是否同时运行 CSP 和仅 CSP 报告?当这两个策略一起使用时,已经看到这样的问题: tunetheweb.com/security/http-security-headers/csp/#support
0赞 Adam 2/13/2016
不,只是 CSP。我已确认我没有使用仅报告标头。
1赞 jabbascript 1/16/2020
可能是因为哈希仅适用于元素,而不适用于属性。查看 stackoverflow.com/a/52795613/3257984<style>style=

答: 暂无答案

上一个:Android Nougat API 24 中的 KeyAttestation

下一个:来自 canvas.toDataURL 的 SVG&gt;PNG 在 Safari 9.x 中引发 DOM 异常 18 安全错误