添加后 require-trusted-types-for 'script';
在我 内容安全政策 头部,它 从Chrome 83测试版引入 以帮助锁定DOM XSS注入汇。
当我打开我的网站时,它变成了一个空白页。在我的控制台中,我得到了很多这三种错误。(Chrome版本83.0.4103.61)
本文档需要'TrustedScript'分配。
本文档需要'TrustedScriptURL'赋值。
类型错误。无法为'HTMLScriptElement'设置'src'属性。这个文档需要'TrustedScriptURL'赋值。
我已经阅读了这篇文章 使用可信类型防止基于DOM的跨站点脚本漏洞。. 但是,该文章只说了如何处理 可信的HTML但不是 TrustedScript 或 TrustedScriptURL.
任何指导将是有益的。谢谢!
检查这个。可能会帮助你。
潜在修复的参考文献。
可信类型和Chrome浏览器实现的背景。
-https:/github.comw3cwebappsec-trusted-typesblobmasterexplainer.md。- https:/www.chromestatus.comfeature5650088592408576- https:/gadgets.kotowicz.netpocTrusted_Types_TPAC_2018.pdf。
短期修复方案:-增加一个仅报告的CSP头。[不是很好,如果你正在运行一个敏感的prod应用程序,你必须了解各种风险]
长期的修复方案:--你可以调查一下,把外部第三方的东西带到你的基地,避免整体的痛苦。
我不是专家,也只是想从中学习,我想说的是,修复方法几乎是因人而异,而不是银弹型的。
祝大家好运