Я пытаюсь внести в белый список встроенное изображение. Есть ли способ добавить nonce в image_tag как javascript_include_tag
добавить в белый список встроенное изображение.
основано на CSP: img-src , упомянуто img-src поддерживает 'nonce-<base64-value>'
Моя политика CSP для image-src
policy.img_src :self
Я попробовал следующее и подтвердил, что nonce появляется в дом.
#fruist_store.html.haml
= image_tag('https://assets.myfruitstore.com', nonce: content_security_policy_nonce)
Но одноразовый номер на image_tag, похоже, не соблюдается в отличие от script-src. Я все еще получаю
[Report Only] Refused to load the image 'https://assets.myfruitstore.com' because it violates the following Content Security Policy directive: "img-src self
Мне было интересно, есть ли другой способ сделать эту работу или это что-то не защищенное.
Обновление :
Таким образом, основываясь на Rails content_security_policy.rb # L134 , похоже, что Rails НЕ добавляет nonce к image_src
, поэтому я обновляю свою политику до
policy.img_src :self, -> {%(nonce-{request.content_security_policy_nonce})}
Но все равно помечать это как нарушение