Question

По какой-то причине и Mozilla Observatory, и валидатор CSP не обнаруживают заголовок CSP в моем файле .htaccess, но заголовок виден при просмотре через Chrome.

Вот мой текущий заголовок CSP в моем файле .htaccess;

Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;

Также я заметил, что одноразовый номер не работает, встроенные сценарии все еще загружаются без одноразового использования, но если я внесу изменения в CSP, это может ограничить выполнение сценария и отображение встроенных элементов.

Информация: Сервер работает со скоростью света.Версия PHP 7.1

SJacks · Answer 1 · 02 октября 2018

Исправлена проблема, изменяющая строку в .htaccess следующим образом:

 Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"

Единственной проблемой сейчас является добавление unsafe-inline, но из того, что я прочитал строго-динамически, и одноразовые номера не работаюткак кроссплатформенное решение, и для некоторых событий onclick у меня должны быть встроенные js.

Заголовок CSP не обнаружен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Заголовок CSP не обнаружен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы