添加 CSP 标头时,样式标签中的 Nonce 值为空
问题描述 投票:0回答:1
我们已经使用Java过滤器类实现了在Angular中添加CSP标头的代码。在角度方面,我们也实现了
shared_styles_hosts.ts“拒绝应用内联样式,因为它违反了以下内容安全策略指令:“style-src 'self' https://fonts.googleapis.com”。“unsafe-inline”关键字、哈希值或随机数是需要。”
当我们检查开发者控制台时,我们注意到在
shared_styles_host.tsstyleNodes.push(host.appendChild(styleEl));
我们不能使用不安全内联或散列。此外,由于项目结构的原因,我们无法将所有内联样式移动到其他文件。所以剩下的唯一选择就是正确实现nonce。有谁知道为什么样式标签中的随机数值为空?
1个回答
0
投票
投票
我知道这可能已经太晚了,但我们也遇到了这个问题,我无法通过互联网搜索找到答案。
这实际上是浏览器的预期行为,与 Angular 无关。随机数仍然存在,只是您看不到它:Google Chrome 从脚本标签中剥离随机数值
在我们的例子中,解决方案是,CSP 中的 nonce-... 指令没有用“”引用(如“nonce-...”)。
最新问题
- 通过命令行或 powershell 5.1 调用时,Powershell 7.2 操作不起作用
- 多处理嵌套 DictProxy 对象不允许使用 .items()
- 如何让hadoop put创建不存在的目录
- Hono Zod 类型“json”的参数不可分配给类型“never”的参数
- 如何在 Compose 中查看应用的位图旋转
- nginx 重定向到索引页面
- 如何在Python中计算math.sqrt(-1)?
- Angular 19 独立组件错误:尽管导入了 HttpClientModule,“没有 _HttpClient 的提供程序”
- 不同加数问题贪心算法
- 我无法在 Ajax 中执行 Perl 脚本
- AVX2 / gcc:通过使用不同的寄存器来提高CPU级并行性
- 我无法在ajax中执行perl脚本
- 实体框架。直接编辑集合导航属性时的奇怪行为
- 在Python中检测比例参考线坐标
- 如何防止我的Python脚本在Windows上运行后立即关闭?
- Gridgain9 是 ignite2 还是 ignite3 的下游
- 如何修改JavaFX中的ChoiceBox复选标记?
- 在pygame中实时播放带有alpha通道和同步音频的两个混合视频?
- 如何在cypher-shell中使用环境变量NEO4J_PASSWORD
- ASP Classic IPN 侦听器可以工作,但现在不行了
© www.soinside.com 2019 - 2024. All rights reserved.