Sha*_*ane 4 firefox content-security-policy
我有一个 Web 服务器,它生成对 GET 请求的 http/html 响应。我添加了以下响应标头:content-security-policy: default-src 'nonce-Z2lnkA9A00KuJsXvx94P6hyDdyRUaxFCiV9lUS0XgWo' 'self' *.my-org.net *.my-org.com fonts.googleapis.com fonts.gstatic.com *.amazon.com;。
然后我将以下标签添加到我的 html 文档中:
\n<!-- these tags are blocked in firefox -->\n<style nonce="Z2lnkA9A00KuJsXvx94P6hyDdyRUaxFCiV9lUS0XgWo"> some inline code ....\n<script nonce="Z2lnkA9A00KuJsXvx94P6hyDdyRUaxFCiV9lUS0XgWo"> some inline code ....\n\n<!-- this tag works as expected in all browsers-->\n<script src="/scripts/utils.js"></script>\n此代码在 Chrome 和 Edge 中可以正确执行,但 Firefox 会阻止内联脚本标签,同时允许执行获取的脚本标签。
\nFirefox 控制台中的错误是:内容安全策略:页面\xe2\x80\x99s 设置阻止了内联资源的加载 (\xe2\x80\x9cdefault-src\xe2\x80\x9d)。
\nFirefox 似乎不支持 default-src 中的随机数。如果您指定 script-src 和 style-src 指令以及必要的源,它应该可以工作。我用 Firefox 77 和 79 对此进行了测试。
| 归档时间: |
|
| 查看次数: |
1315 次 |
| 最近记录: |