极客观点
项目管理
HarmonyOS
我无法通过校验和获得白名单以在 Firefox(52.0.2,Windows)中工作。根据 caniuse,Firefox 支持内容安全策略版本 2,因此应该支持校验和。
当 chrome 阻止内联脚本时,它会将所需的 sha-256 打印到控制台。将其添加到 csp 规则成功将脚本列入白名单。校验和也与在 https://report-uri.io/home/hash 计算的校验和相同
但是firefox不接受。
我注意到 MDN 文档中的示例使用 base-16 而不是 base-64 编码来校验和。 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/script-src
但即使使用 MDN 示例,我也会得到相同的结果。 (Chrome 也拒绝使用 base-16 编码)。我在以下方面尝试了多种变体:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<meta http-equiv="Content-Security-Policy"
content="script-src 'sha256-076c8f1ca6979ef156b510a121b69b6265011597557ca2971db5ad5a2743545f'">
<title>Hello CSP</title>
</head>
<body>
<script type="text/javascript">var inline = 1;</script>
</body>
</html>
内容安全策略:该页面的设置阻止了自行加载资源(“script-src ‘sha256-076c8f1ca6979ef156b510a121b69b6265011597557ca2971db5ad5a2743545f’”)。来源:var inline = 1;。
原文由 mdemonic 发布,翻译遵循 CC BY-SA 4.0 许可协议
如果您更改哈希值,它将起作用,如下所示:
不确定为什么您会在 Chrome 中看到您描述的行为;当我在 Chrome 中测试问题中的示例时,它会阻止脚本并发出一条错误消息,提示使用哈希值
sha256-B2yPHKaXnvFWtRChIbabYmUBFZdVfKKXHbWtWidDVF8=。并且 https://report-uri.io/home/hash 在给定时也会输出该值
var inline = 1;。