我的问题不是如何设置 CSP。我知道。然而,我确实有一个关于其他人如何使用 Wordpress 处理他们的 CSP 的问题。 Wordpress 核心包括内联样式和脚本,这在 CSP 中管理起来很痛苦,因为您需要获取样式/脚本的 SHA 并将其输入到 CSP 中。不仅如此,许多(可能是大多数)插件和主题还包含这些插件和主题,这也需要获取所有这些插件和主题的 SHA。再加上插件不断更新以及核心本身定期更新的事实,这使得保持 SHA 正确成为维护噩梦。我可以允许不安全内联...但是好吧...不安全!所以,我的问题是一个人对此有何反应?有没有人有什么绝妙的技巧可以自动化 SHA?
我也很惊讶地发现几乎没有 WP 网站使用严格的 CSP。
我的知识可能不完整,但是: