Этот документ требует назначения "TrustedScriptURL"

Question

После добавления require-trusted-types-for 'script'; в мой Content-Security-Policy заголовок, который введен из Chrome 83 Beta , чтобы помочь заблокировать приемники DOM XSS-инъекций,

когда я открываю свой веб-сайт, он становится пустой страницей. У меня в консоли было много этих трех видов ошибок. (Chrome версия 83.0.4103.61)

Этот документ требует назначения «TrustedScript».

Этот документ требует назначения «TrustedScriptURL».

TypeError: не удалось установите свойство 'sr c' в 'HTMLScriptElement': этот документ требует назначения 'TrustedScriptURL'.

Я прочитал статью Предотвращение уязвимостей межсайтового скриптинга на основе DOM с помощью Trusted Типы . Однако в статье говорится только о том, как работать с Trusted HTML, но не с TrustedScript или TrustedScriptURL .

Любое руководство будет полезно. Спасибо!

Answer 1

Проверьте это. Я должен вам помочь.

https://zeronights.ru/wp-content/themes/zeronights-2019/public/materials/3_ZN2019_Jakub_Vrana_Krzysztof_Kotowicz_Trusted_Types_and_the_end_of_DOM_XSS.pdf

Ссылки для потенциального исправления:

• https://github.com/w3c/webappsec-trusted-types
• https://w3c.github.io/webappsec-trusted-types/dist/spec/#trused -script-url

Фон для доверенных типов и Chrome реализация браузера:

- https://github.com/w3c/webappsec-trusted-types/blob/master/explainer.md - https://www.chromestatus.com/feature/5650088592408576 - https://gadgets.kotowicz.net/poc/Trusted_Types_TPAC_2018.pdf

Вариант краткосрочного исправления: - Добавить заголовок CSP только для отчета. [не очень хорошо, и вам нужно знать о различных рисках, если вы используете чувствительное приложение для продуктов]

Вариант долгосрочного исправления: - Вы можете исследовать, чтобы принести на свою базу сторонний материал и избежать общей боли.

Я не эксперт, просто пытаюсь извлечь уроки из этого, и я бы сказал, что исправление в значительной степени зависит от случая, а не типа серебряной пули.

Всего наилучшего!