Силы, которые пытаются решить проблемы CSP, отмеченные различными инструментами сканирования безопасности. Наша большая проблема заключается в том, что многие наши сайты используют VB.Net WebForms, что означает, что .NET вводит много материала.
Я нашел способ генерирования одноразового номера при каждом запросе, а затем вставка вэлементы, которые создает .NET, однако, если это означает, что кто-то может просто изменить внешний скрипт, то это не имеет значения, и я бы не стал тратить время.
Я понимаю, что следующий скрипт сломается, еслихэш не соответствует содержимому.
Content-Security-Policy: script-src 'sha256-demo123'
<script src="www.asfd.com/script.js" integrity="sha256-demo123"
crossorigin="anonymous" />
Как это работает при использовании одноразового номера? Разве одноразовый номер не гарантирует, что если что-то внутри тега скрипта изменится (т. Е. Введен код), то оно будет повреждено при выполнении, потому что новый одноразовый номер будет сгенерирован для следующего запроса, и его невозможно угадать.