Chr*_*ris 9 asp.net webforms content-security-policy
在我的网站上实现 CSP 标头时,我遇到了 webforms 添加到页面的自动生成的回发 JavaScript 的问题:
<script type="text/javascript">
//<![CDATA[
var theForm = document.forms['form1'];
if (!theForm) {
theForm = document.form1;
}
function __doPostBack(eventTarget, eventArgument) {
if (!theForm.onsubmit || (theForm.onsubmit() != false)) {
theForm.__EVENTTARGET.value = eventTarget;
theForm.__EVENTARGUMENT.value = eventArgument;
theForm.submit();
}
}
//]]>
</script>
为了支持其他一些内联脚本标签,我已成功添加了该nonce属性;但是我找不到修改这段生成的代码来做同样的事情的方法。我已经探索过ClientScript.GetPostBackEventReference,但这似乎控制了其中的 JavaScript,与<script>标签本身的呈现无关。
解决方案不一定需要涉及添加nonce属性——任何符合的都可以。例如,如果有一个 ASP.NET 设置可以配置为将此脚本作为文件加载(我可以将其列入白名单),那就没问题了。
祝您好运,使用 Webforms 方案在 ASP.NET 上实现良好的 CSP - WebForms 控件将添加一大堆内联脚本,如下登录按钮所示:
<a id="btnLogin" class="btn btn-info pull-right" href="javascript:__doPostBack('btnLogin','')">Login</a>
如果您没有使用很多<asp:...控件,那么可能没问题。
要允许您想要运行上述脚本,您可以将其添加到您的 CSP 之后script-src:
sha256-uVkxb0ccirYwSBxwdr2/4qtJEH1eBw7MslAgyLdAVVY="
它让您的浏览器知道它应该执行任何具有 sha256 哈希值的脚本。
如果您使用与我正在使用的不同的换行符(我相信是 Windows 风格),我给您的哈希值可能不起作用。
您还应该小心,如果您没有将默认表单 ID 更改为“form1”以外的内容的页面。
| 归档时间: |
|
| 查看次数: |
3140 次 |
| 最近记录: |