如何删除内容安全策略的不安全内联代码?

时间:2012-10-29 15:42:52

标签: javascript django content-security-policy

我想使用内容安全策略,并使我的Django Web应用程序安全,没有任何不安全的内联代码。虽然很容易将大多数JavaScript代码移动到外部文件,但我也有一段内联代码,我不知道修复。我正在使用Django,我在Django模板上下文中有一些变量,我想pqww到JavaScript。所以目前我只是将其输出为内联JavaScript。但由于CSP,这不起作用。

<script type="text/javascript">
    /* <![CDATA[ */
    var documentURL = '{% filter escapejs %}{{ document.get_document_url }}{% endfilter %}';
    /* ]]> */
</script>

1 个答案:

答案 0 :(得分:3)

将评论放在答案表格中并添加一点......

执行此操作的最简单方法是生成具有属性集的标记。我不知道django所以我会把它留在简单的html中:

<input type="hidden" id="mything" value="<MY VALUE>">

当我有多个相关值时,我可能会将它们放入同一个元素中:

<span class="hidden" data-attribute1="<VALUE1>" data-attribute2="<VALUE2>">
<!-- rename 'attributeN' to something meaningful obviously -->

在任何一种情况下,只需用JS读取值(使用jquery简洁)

$('#mything').data("attribute1")

或者,如果您需要一个复杂的对象,请将其作为html实体转义数据放在一个范围内:

<span class="hidden" id="data-container">
  <your html-escaped JSON>
</span>

并在外部文件中阅读:

var myObject = JSON.parse($('#data-container').html());

这也在https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#RULE_.233.1_-_HTML_escape_JSON_values_in_an_HTML_context_and_read_the_data_with_JSON.parse

中描述
相关问题
最新问题