由于某种原因,Mozilla Observatory和CSP验证程序均未在我的.htaccess文件中检测到CSP标头,但通过Chrome浏览器时该标头可见。
这是我的.htaccess文件中当前的CSP标头;
Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;
我还注意到随机数不起作用,内联脚本仍会在没有随机数的情况下加载,但是如果我对CSP进行修改,则会限制脚本的执行和内联元素的显示。
信息: 服务器是光速的。 PHP版本是7.1
答案 0 :(得分:0)
通过将.htaccess中的行修改为以下内容来解决此问题;
Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"
现在唯一的问题是添加了unsafe-inline,但是据我所读,strict-dynamic和nonce不能用作跨平台解决方案,对于某些onclick事件,我必须具有内联js。