Колба-талисманы. белый список sha256 не работает - PullRequest
0 голосов
/ 15 октября 2019

У меня есть этот конфиг для flask-talisman

'style-src-elem':[
    'https://cdnjs.cloudflare.com',
    '\'self\'',
    'https://fonts.googleapis.com',
    'https://www.paypal.com',
    'sha256-Y5HGV3cmFL1QmdV9FMkQjm7MR7FR+stNxbf9+GKET60=',
    'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=',
    'sha256-oRjZhdNA+hM09jMYLHOUU2VtMxrmznym5tWJmiyI+Oo=',
    'sha256-IVUmBkRCdvydC0Uh8tn6KMTNiZNvKrJOMResPyDMax8=',
    'sha256-rdzt5ui2VGkyv3dNYnGUDmT5J+N5RyuwQE1Rbx/kcFM=',
    'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU='
],

браузер возвращает ошибку,

The source list for Content Security Policy directive 'style-src-elem' contains an invalid source: 'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU='. It will be ignored.

как добавить хеш в мой список?

вот CSP, возвращенный Flask

Content-Security-Policy: default-src 'self' https://cdnjs.cloudflare.com https://www.sandbox.paypal.com https://www.paypal.com; style-src-elem https://cdnjs.cloudflare.com 'self' https://fonts.googleapis.com https://www.paypal.com sha256-Y5HGV3cmFL1QmdV9FMkQjm7MR7FR+stNxbf9+GKET60= sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU= sha256-oRjZhdNA+hM09jMYLHOUU2VtMxrmznym5tWJmiyI+Oo= sha256-IVUmBkRCdvydC0Uh8tn6KMTNiZNvKrJOMResPyDMax8= sha256-rdzt5ui2VGkyv3dNYnGUDmT5J+N5RyuwQE1Rbx/kcFM= sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; style-src https://www.paypal.com; img-src *; script-src 'self' https://www.paypal.com https://cdnjs.cloudflare.com 'nonce-DuvsKN_8mn0-PxpaMd7CEA'; font-src https://fonts.gstatic.com; connect-src *
...