未检测到CSP标头

时间:2018-09-24 09:31:39

标签: content-security-policy nonce

由于某种原因,Mozilla Observatory和CSP验证程序均未在我的.htaccess文件中检测到CSP标头,但通过Chrome浏览器时该标头可见。

这是我的.htaccess文件中当前的CSP标头;

Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;

我还注意到随机数不起作用,内联脚本仍会在没有随机数的情况下加载,但是如果我对CSP进行修改,则会限制脚本的执行和内联元素的显示。

信息: 服务器是光速的。 PHP版本是7.1

1 个答案:

答案 0 :(得分:0)

通过将.htaccess中的行修改为以下内容来解决此问题;

 Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"

现在唯一的问题是添加了unsafe-inline,但是据我所读,strict-dynamic和nonce不能用作跨平台解决方案,对于某些onclick事件,我必须具有内联js。