У меня есть этот заголовок CSP:
Content-Security-Policy: default-src 'self'; script-src 'nonce-someNonce' 'strict-dynamic'; style-src 'nonce-someNonce' 'strict-dynamic'; font-src 'self' https://fonts.gstatic.com; object-src 'none'; img-src 'self' https://www.google-analytics.com; block-all-mixed-content;
, который, помимо необходимости потерять статические URL-адреса и иметь обратную совместимость, имеет проблему.Сайт, который он будет защищать, имеет ряд зависимостей библиотеки js.Однако в то время как строгая динамика устанавливается, доверие, похоже, не распространяется на теги <style> и <script>, впоследствии созданные корневыми доверенными js-файлами, или последующим файлам css / js, загруженным доверенными корнями.Обратите внимание, что эти вложенные теги и файлы не имеют каких-либо атрибутов nonce, что может быть проблемой, хотя я понимаю, что это нужно только руту.
Кто-нибудь видит проблему с моей политикой?