如何处理usercentries的nonce? (uc-block.bundle.js)
问题描述 投票:0回答:1
我正在使用CSP;我在服务器端对策略进行了更改,然后在客户端使用nonce。它适用于一切。我只是对 UserCentries 有疑问。我仍然收到以下错误:
uc-block.bundle.js:1 拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self' 'nonce-cdbb69b0170fa85cd202dd223dc7de80' https://fonts.googleapis.com https: //*.iadvize.com”。启用内联执行需要“unsafe-inline”关键字、哈希值(“sha256-gxqnKDxRDSXGSNnZ1pqKxuJyI+PHG6Tvsbz7z9B4+ZI=”)或随机数(“nonce-...”)。
当我点击 Chrome 中的错误行时,它会转到该文件内的代码:
问题似乎是因为这里的 style 标签,它没有 nonce 属性。
我有一个
CspMiddlewarePolicypublic override async Task Invoke(IOwinContext context)
{
var randomNonce = Shared.Extensions.Extensions.GenerateNonce();
var isUmbracoRequest = context.Request.Uri.AbsolutePath.StartsWith("/umbraco");
var policy = new[] {
$"script-src 'self' {(isUmbracoRequest ? "'unsafe-inline'" : $"'nonce-{randomNonce}' 'strict-dynamic'")} {string.Join(" ", this._config?.ExternalUrls)}; " +
$"style-src 'self' {(isUmbracoRequest ? "'unsafe-inline'" : $"'nonce-{randomNonce}'")} {string.Join(" ", this._config?.ExternalCssUrls)}; " +
$"object-src 'self'; " +
$"report-uri /umbraco/api/helper/CreateCSPReport"
};
if (!context.Response.Headers.ContainsKey("Content-Security-Policy")) context.Response.Headers.Add("Content-Security-Policy", policy);
if (!context.Response.Headers.ContainsKey("X-Content-Security-Policy")) context.Response.Headers.Add("X-Content-Security-Policy", policy);
if (!context.Response.Headers.ContainsKey("X-Webkit-CSP")) context.Response.Headers.Add("X-Webkit-CSP", policy);
if (!isUmbracoRequest) context.Response.Headers.Add("X-Nonce", new[] { randomNonce });
await Next.Invoke(context);
}
在剃刀页面上,我得到
nonceUserCentries@{
var xNonce = HttpContext.Current.Response.Headers.GetValues("X-Nonce")?.First();
}
<script type="application/javascript" src="https://privacy-proxy.usercentrics.eu/latest/uc-block.bundle.js" nonce="@xNonce"></script>
当我在浏览器中检查时,我可以看到已添加到此脚本中的
nonce如何处理此特定脚本(
uc-block.bundle.js)的
nonce?
谢谢你。
1个回答
投票
您的依赖项是将内联样式元素附加到您的文档中。依赖项中似乎不支持随机数,因此您必须求助于其他解决方案。您可以尝试将提到的哈希添加到 style-src 中。由于存在三元运算符,您可能必须为两者添加哈希值,如果您不容易重现这两种情况,可以使用 https://report-uri.com/home/hash 来计算哈希值。
如果脚本输出是动态的,则需要添加太多哈希值。那么您可能需要求助于允许“不安全内联”。如果您限制了 CSP 的其余部分,这毕竟还不算太糟糕,请参阅 https://scotthelme.co.uk/can-you-get-pwned-with-css/,但并非所有扫描仪和安全性不过测试人员很容易同意。
最新问题
- 使用标头时 C 程序无法编译
- 无法使用 Pandas 读取 Databricks 中的文件错误:FileNotFoundError:[Errno 2] 没有这样的文件或目录:'/FileStore/tables/ge_selection.csv'
- 在Python中打开XDR文件
- C 程序运行时无法打开.h5 文件
- Anylogic 和 NVidia Omniverse 渲染
- 为什么样式“display:none”不隐藏像<s:textfield>这样的Struts 2标签?
- 在systemd服务文件中从aws获取秘密
- “./composer.json”与预期的 JSON 架构不匹配
- 即使 app.json web 更改后,React 本机 Web 应用程序也不会更改背景颜色
- 如何找出为什么在 VSCode 中使用箭头键选择文本?
- 短代码在前端不起作用,但显示了这个
- 在构建文件中找不到 AGP 版本和空 Android Gradle 插件版本
- JetAttachDatabase 返回 -1213
- 在我的父控制器解析数据之前防止子组件渲染
- SpringBoot 3.3.6 @ConfigurationProperties 将 null 对象注入构造函数
- create方法返回结果及201状态码
- 如何用带信号的主题替换服务?
- 我可以查一下 PostgreSQL 是否可以获取锁
- 如何从 zig 中 switch 语句匹配的 case 代码块返回值?
- Cloudbuild 在构建云运行 docker 容器时无法访问 Artifacts Registery