WordPress и CSP

Question

Кто-нибудь сталкивался с попыткой защитить заголовки (CSP) в WordPress несколькими плагинами, которые плюют js в dom?

Я пытаюсь улучшить заголовки с помощью CSP и удалить «unsafe-inline» вдиректива script-src.

Некоторые статические js Я смог загрузить их хешами, но когда дело доходит до динамического, это становится громоздким.Я переписал некоторые функции, которые выплевывают js, чтобы содержать одноразовый номер, и добавил одноразовый номер в CSP, но каждый раз, когда кто-то добавляет плагин, который ведет себя так или обновляет модифицированный плагин, мне придется его переделывать, таким образом, этот способ не оченьНадежный.

Кто-нибудь есть идеи, кроме как разрешить встроенные и никогда не обновлять плагины?

Best

Answer 1

Использование .htaccess - более надежный способ использования CSP с WordPress.Просто добавьте код ниже в ваш файл .htaccess.Некоторые плагины все еще могут сломаться, поэтому обязательно добавьте то, что использует плагин ниже, например googleapis и т. Д. При этом вам не нужно беспокоиться об обновлениях плагинов.

<IfModule mod_headers.c>
  Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: 
  *.gravatar.com;"
</IfModule>

Но если вы используете его на веб-интерфейсе, который сломает бэкэнд WordPress, чтобы исправить это, просто добавьте этот код ниже в wp-admin/.htaccess.

<IfModule mod_headers.c>
  Header set Content-Security-Policy "default-src 'self'; img-src 'self' data: http: 
  https: *.gravatar.com; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 
  'self' 'unsafe-inline' http: https: fonts.googleapis.com; font-src 'self' 
  data: http: 
  https: fonts.googleapis.com themes.googleusercontent.com;"
</IfModule>

Ссылка:

Политика безопасности содержимого