在不包括脚本和样式的unsafe-inline的情况下,无法应用内容安全策略。 NuxtJS在构建时会生成内联样式和脚本。
由于我的应用程序是静态的,因此NuxtJS的默认配置不起作用,因为它需要服务器端渲染才能实现。我一直无法找到一种方法来将随机数注入到构建过程中来解决此问题。
我当前的设置是使用不接触应用程序的cloudflare工作者将安全HTTP标头应用于域。因此,我正在寻找如何在应用程序和边缘工作程序 https://scotthelme.co.uk/csp-nonces-the-easy-way-with-cloudflare-workers/
之间进行集成的选项在浏览我无法使用的nuxtjs github问题时,使用中间件对几种注入方法进行了介绍。
有没有人找到直接在应用程序中或外部生成不包含不安全内联策略的解决方案?
答案 0 :(得分:0)
NuxtJS在生成时会生成内联样式和脚本。 ...我一直无法找到一种方法来将随机数注入到构建过程中来解决此问题
从CSP的角度来看
.setAttribute()
函数的JS调用-是的,它在style-src中也需要'unsafe-inline'),并且仅1 可以使用'nonce-value'允许使用它们。因此,以抽象的形式,您的任务无法解决,您需要具体说明。
假设您仅使用<script>...</script>
和<style>...</style>
构造(可以使用'nonce-value'允许使用它们),您可以使用以下三种选择:
在使用3 types的情况下,最好仅设置style.nonce = 'generated_base64_value'
属性为opt 1。因为在这种情况下,计算“哈希值”并不容易。
在使用<script>...</script>
和<style>...</style>
的情况下,更容易计算哈希或将其全部移动到外部文件(选项2、3)。在这种情况下,使用cloudflare worker会不必要地使代码复杂化。
某些中间件会生成大量单独的<style>.red {color:red;}</style>
,<style>.r_padd {padding-right:20px;}</style>
等。对于opts 1、2来说很头疼,但可以通过opt 3轻松解决。
如果您使用第三方脚本(例如Google跟踪代码管理器),则无法摆脱“不安全嵌入式”脚本,在某些情况下也无法摆脱“不安全评估”。
PS:没有通用的方法。而且,由于不知道汽车内的东西是什么,很难就如何对其加力提出建议。