那些遇到过的问题

Webkit 浏览器中 Nonce-Attribute 为空?

use*_*420 5 nonce content-security-policy

我的代码中有一个奇怪的行为,但它仅出现在 webkit 浏览器(chrome + opera)中,并且仅在启用 SSL 的情况下出现。一般我在 script-tags 中使用 nonce-attribute,但只有特殊的用户组发送匹配的 http-header for nonce。因此,对于大多数访问者来说,这只是一个属性,而不是为了安全。

<script src="https://www.example.com/script.js" nonce="random-value"></script>
Run Code Online (Sandbox Code Playgroud)

在没有 SSL(仅 HTTP)的本地主机上,它工作正常,但使用 SSL(HTTPS)时,我在源代码中看到随机值,但在检查器/元素中是随机数属性为空。

<script src="https://www.example.com/script.js" nonce=""></script>
Run Code Online (Sandbox Code Playgroud)

在 Firefox 和 Edge 中显示此值。这是 webkit 中的错误、安全性还是我的错误,但为什么只在 webkit 中?Chrome 68.0.3440.84 与 Windows 10。

归档时间:

查看次数:

879 次

最近记录:

7 年,3 月 前
相关归档
内容安全政策:无法在Chrome扩展程序中加载Google API 30
Google Analytics内容安全政策 15
Microsoft Edge不接受内容安全策略的哈希 9
Firefox中带有CSP的站点上的Javascript小书签 6
在Chrome打包应用程序中使用AngularJS时如何避免JQuery globalEval调用? 5
有没有办法禁用 Safari CSP(内容安全策略)检查? 5
iframe 在某些浏览器中正确加载网页,但在其他浏览器中不正确(不安全的内容错误) 5
Rails 5.2:设置 CSP nonce 的最佳实践 4
(CSP)connect-src https:// nikkomsgchannel 2
如何为身份服务器启用内容安全策略? 1
难疑归档
如何撤消Git中最近的提交? 20327
运算符重载的基本规则和习惯用法是什么? 2074
删除文件或文件夹 1910
为什么这段代码使用随机字符串打印"hello world"? 1733
<快于<=? 1508
修复一个Git分离的头? 1318
虚拟成员在构造函数中调用 1270
Android Studio中的Gradle是什么? 1257
npm在没有sudo的情况下抛出错误 1218
Vim最有效的捷径是什么? 1127