Ume*_*ukh 7 javascript pci-compliance
我在我的代码中使用了这个:
<script type="text/javascript" src='https://www.googleadservices.com/pagead/conversion.js'></script>
在 PCI 扫描中,我收到错误消息“Script Src Integrity Check”
他们推荐使用 SRI(子资源完整性检查)。这是通过在标签中添加完整性属性来完成的,该属性是哈希键。
我试图在https://www.srihash.org/上为这个 js 文件创建一个哈希键
但它给出了一个错误说:
错误:此资源不符合完整性检查条件。请参阅https://enable-cors.org/server.html
你能在这里帮助我吗?
我如何为这个 js 生成哈希键?
有没有其他方法可以摆脱 PCI 扫描错误?
小智 6
我在使用 Google 托管的 JS 时遇到了同样的问题。Google 不提供 SRI。他们会不时地修改脚本,因此需要对它们进行版本控制并保持静态,否则 SRI 将失败。
同时,向您的 PCI 检查服务提交误报。他们需要更新此检查以跳过 Google 托管脚本,就好像 Google 被黑客入侵一样,那将是世界末日。
小智 6
我在 Google 托管的https://www.google.com/recaptcha/api.js上也遇到了同样的问题。
我联系了我们的 PCI 扫描公司,他们说如果我们给他们一份关于我们信任谷歌的声明,那么就会改变我们的扫描结果。我们的声明是这样的:
1. 我们将每 30 天检查一次 Google 的 API,以验证脚本的完整性。
2.我们信任谷歌。
3. 我们对此漏洞承担责任。
我希望它对某人有帮助。
| 归档时间: |
|
| 查看次数: |
2135 次 |
| 最近记录: |