Как разрешить выполнение автоматически сгенерированного встроенного JavaScript-кода .NET с помощью политики безопасности контента?

Question

Я создаю веб-сайт, используя .NET.Теперь я настроил свою Content-Security-Policy и в основном работает нормально, и я разделил все встроенные JS в отдельных файлах.Проблема, с которой я сталкиваюсь, заключается в том, что .NET или IIS (не уверен в виновнике), но веб-сервер выполняет некоторую автогенерацию кода JS, например:

<script type="text/javascript">
//<![CDATA[
Sys.WebForms.PageRequestManager._initialize('ctl00$ctl13', 'ctl01', [], [], [], 90, 'ctl00');
//]]>
</script>

Но есть и несколько других блоков кода...

Возникает ошибка «Отказано в выполнении».И я не уверен, как подойти к этому.Могу ли я использовать целостность подресурсов с этим сгенерированным сценарием?Я также не могу использовать сторонние библиотеки.(

Answer 1

Ну, после некоторого поиска и попытки, я понял, что могу скопировать хэш Sha1 + из Inspector в Chrome, просто внутри "script-src" в качестве значения:

script-src 'self' https: 'sha256-2vr5KadqwtMK7a+bOf/ned/cPnF2yNooMulXA8E65wGw=' 'sha256-uotn9EGEf58Cz/Xefuk7l1rlYusddaEDcJMklItXhgs=' 'sha256-uYoAmCrBFM4tx/Ww+6eFuIJxuwZ3YasdWUTlgnPuE=';

Кажется, все работает так. У меня есть еще одна проблема сейчас. Когда я перенесу свою сборку на рабочий сервер (я не могу получить к ней доступ прямо сейчас), эти хэши все еще будут работать нормально?