我正在探索可以/应该在我的网站上使用CSP和SRI的方式。
对于我的网站,我希望使用CSP,就像这样。
Content-Security-Policy:
block-all-mixed-content;
base-uri https://www.example.com;
default-src 'self';
object-src 'none';
script-src 'strict-dynamic' 'nonce-RandomValue' 'unsafe-inline' https:;
report-uri https://www.example.com/report;
注意:我根据https://www.websec.be/blog/cspstrictdynamic/使用了建议,所以不要给我一些关于'unsafe-inline'指令或者不使用列入白名单的uri的困难。
我的网站还对所有外部源脚本使用子资源完整性检查,因此我认为我可能还应该包含CSP指令。
Content-Security-Policy: require-sri-for script
我的网站还包含一些内联脚本(这就是为什么我想使用CSP随机数,但意味着我必须使用它)。
使用SRI以及实现CSP随机数是否有意义? 如果不是那么什么是好的做法?