文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >问答首页 >允许使用Apache的内联脚本CSP

允许使用Apache的内联脚本CSP
EN

Stack Overflow用户
提问于 2020-12-23 00:01:52
回答 1查看 1.3K关注 0票数 2

我必须启用CSP并允许运行内联脚本。我一直在尝试各种事情,但我仍然收到了CSP警告在开发控制台。

内容安全策略:页面设置阻止内联资源的加载(“默认-src”)内容安全策略:页面设置阻止内联资源的加载(“script-src”)

我一直在尝试用nonce实现CSP,并且在我的apache设置中有下面的内容。

代码语言:javascript
运行
复制
LoadModule unique_id_module modules/mod_unique_id.so //generates unique nonce for each http request

Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'nonce-%{UNIQUE_ID}e' 'unsafe-eval';"

上面的apache设置生成一个唯一的id,然后我将其传递给我的内联JS <script nonce="<?= $_SERVER['UNIQUE_ID'] ?>">

但在控制台上仍然会出现错误。

代码语言:javascript
运行
复制
Content Security Policy: Couldn’t parse invalid host 'nonce-X@KFhfNmoeAb3yfsstqrgQAAAMc'
Content Security Policy: The page’s settings blocked the loading of a resource at inline (“default-src”)
Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”)

请注意,我不打算使用不安全的内联,因为这不会解决CSP的目的。

根据Granty的回答,我现在尝试使用csp_nonce模块。并在我的apache配置中有以下内容

代码语言:javascript
运行
复制
LoadModule headers_module modules/mod_headers.so
LoadModule cspnonce_module modules/mod_cspnonce.so
Header set Content-Security-Policy "script-src 'self' 'nonce-%{CSP_NONCE}e' 'unsafe-eval';"

内联脚本标记现在包含CSP_NONCE变量。

然而,我仍然在控制台中遇到一些错误。

代码语言:javascript
运行
复制
Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).

如果有什么帮助,TIA

php
apache
content-security-policy
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2020-12-23 06:04:21

mod_unique_id不适合生成'nonce',因为生成的ID中有@字符。

您的'nonce-X@KFhfNmoeAb3yfsstqrgQAAAMc'令牌有不允许字符@。您可以使用斯潘塞代替。它根据CSP规范,通过密码algo生成有效的当前值。

PS:正如我所看到的,Content Security Policy: The page’s settings blocked the loading of a resource at inline (“default-src”) --在使用default-src作为script-src的后盾时要小心。火狐有一个错误:'nonce-value'default-src指令中做不覆盖 'unsafe-inline'

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/65417404

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档