内容安全策略新手,所以不确定这是否可行,但想知道如何在HTML元素的属性中为某些内联脚本添加哈希或随机数。
例如:
<form method="post" onsubmit="function();">
在Google Chrome中向我提供以下CSP错误:
拒绝执行内联事件处理程序,因为它违反了 遵循内容安全政策指令:&#34; script-src&#39; self&#39;。 “不安全 - 内联”和“不安全”。关键字,哈希(&#39; sha256 -...&#39;)或nonce (&#39; nonce -...&#39;)是启用内联执行所必需的。
我尝试过散列脚本,例如function();以及onsubmit="function"也没有效果。我尝试在表单元素中添加一个nonce但是没有帮助。
如果需要,我可以将事件绑定移到元素属性之外,只是好奇是否有办法遵守上面的CSP。
答案 0 :(得分:0)
转到阻止您的内容的端点。在浏览器上查看控制台。您的浏览器将通知被阻止的内容,它还将为您提供用于通过CSP取消阻止该内容所需的哈希。
来源:https://www.troyhunt.com/locking-down-your-website-scripts-with-csp-hashes-nonces-and-report-uri/