- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
Content Security Policy 的想法是告诉网络浏览器从哪里加载什么内容。这意味着如果未明确允许 'unsafe-inline'
(这不是最好的做法),攻击者将无法注入(inject)他们自己的代码。
Google 还发布了 CSP Evaluator ,旨在发现您的政策中可能存在的错误。在默认设置下,该工具建议对 'script-src'
使用 'strict-dynamic'
策略。其背后的想法是,您为需要的任何 JavaScript 源代码编写一个加载程序,并禁止其他一切。
实现这种加载器的“正确”方法是什么?应该自己编写加载程序(参见下面的示例)还是应该使用工具来创建这样的加载程序? (请注意,这个问题不是要求具体的工具推荐)
var imported = document.createElement('script');
imported.src = '/path/to/imported/script';
document.head.appendChild(imported);
我的网站目前有以下政策:
default-src 'none';
img-src 'self';
style-src 'self' https://stackpath.bootstrapcdn.com 'sha256-bviLPwiqrYk7TOtr5i2eb7I5exfGcGEvVuxmITyg//c=';
script-src https://use.fontawesome.com https://code.jquery.com https://cdnjs.cloudflare.com https://stackpath.bootstrapcdn.com;
base-uri 'none';
form-action 'none';
frame-ancestors 'none';
Google 的工具建议如下:
Host whitelists can frequently be bypassed. Consider using
'strict-dynamic'
in combination with CSP nonces or hashes.
因此,我想实现一个加载器来加载这些 JS 框架,并且我想知道如何最好地解决这个问题。
最佳答案
一个直接的答案是,只要您动态加载的脚本 ( /path/to/imported/script
) 托管在您已经在 script-src
中列入白名单的域中,您不必修改您的 CSP 或更改您的加载器——一切都会按预期工作。
但是,更广泛的问题是您的 script-src
白名单包括托管 Javascript 的域,攻击者可以使用它在您的应用程序中发现标记注入(inject)错误以绕过您的 CSP。例如,https://cdnjs.cloudflare.com
托管 Angular(https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.7.2/angular.min.js
),攻击者可以使用它来将 HTML 注入(inject)转换为任意脚本执行(here 是一篇关于此的论文)。
CSP Evaluator 工具中的建议是将您的应用程序切换为依赖 script-src
它使用 CSP 随机数而不是白名单。为此,您需要遵循 https://csp.withgoogle.com/docs/strict-csp.html 中概述的流程。 -- 基本上,确保每个 <script>
元素有一个正确的 nonce
每次页面加载都会更改的属性,或者改用 CSP3 hashes用于静态脚本。
您的 CSP 将如下所示:
... script-src 'nonce-[random-value]' 'strict-dynamic' 'unsafe-inline' https:; ...
如果您使用 'strict-dynamic'
,您的脚本加载器不必更改,因为浏览器会自动信任通过编程 API 添加到您页面的脚本,例如 appendChild()
.
关于javascript - 使用 'strict-dynamic' CSP 指令加载脚本的正确方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51024750/
我想了解 Ruby 方法 methods() 是如何工作的。 我尝试使用“ruby 方法”在 Google 上搜索,但这不是我需要的。 我也看过 ruby-doc.org,但我没有找到这种方法。
Test 方法 对指定的字符串执行一个正则表达式搜索,并返回一个 Boolean 值指示是否找到匹配的模式。 object.Test(string) 参数 object 必选项。总是一个
Replace 方法 替换在正则表达式查找中找到的文本。 object.Replace(string1, string2) 参数 object 必选项。总是一个 RegExp 对象的名称。
Raise 方法 生成运行时错误 object.Raise(number, source, description, helpfile, helpcontext) 参数 object 应为
Execute 方法 对指定的字符串执行正则表达式搜索。 object.Execute(string) 参数 object 必选项。总是一个 RegExp 对象的名称。 string
Clear 方法 清除 Err 对象的所有属性设置。 object.Clear object 应为 Err 对象的名称。 说明 在错误处理后,使用 Clear 显式地清除 Err 对象。此
CopyFile 方法 将一个或多个文件从某位置复制到另一位置。 object.CopyFile source, destination[, overwrite] 参数 object 必选
Copy 方法 将指定的文件或文件夹从某位置复制到另一位置。 object.Copy destination[, overwrite] 参数 object 必选项。应为 File 或 F
Close 方法 关闭打开的 TextStream 文件。 object.Close object 应为 TextStream 对象的名称。 说明 下面例子举例说明如何使用 Close 方
BuildPath 方法 向现有路径后添加名称。 object.BuildPath(path, name) 参数 object 必选项。应为 FileSystemObject 对象的名称
GetFolder 方法 返回与指定的路径中某文件夹相应的 Folder 对象。 object.GetFolder(folderspec) 参数 object 必选项。应为 FileSy
GetFileName 方法 返回指定路径(不是指定驱动器路径部分)的最后一个文件或文件夹。 object.GetFileName(pathspec) 参数 object 必选项。应为
GetFile 方法 返回与指定路径中某文件相应的 File 对象。 object.GetFile(filespec) 参数 object 必选项。应为 FileSystemObject
GetExtensionName 方法 返回字符串,该字符串包含路径最后一个组成部分的扩展名。 object.GetExtensionName(path) 参数 object 必选项。应
GetDriveName 方法 返回包含指定路径中驱动器名的字符串。 object.GetDriveName(path) 参数 object 必选项。应为 FileSystemObjec
GetDrive 方法 返回与指定的路径中驱动器相对应的 Drive 对象。 object.GetDrive drivespec 参数 object 必选项。应为 FileSystemO
GetBaseName 方法 返回字符串,其中包含文件的基本名 (不带扩展名), 或者提供的路径说明中的文件夹。 object.GetBaseName(path) 参数 object 必
GetAbsolutePathName 方法 从提供的指定路径中返回完整且含义明确的路径。 object.GetAbsolutePathName(pathspec) 参数 object
FolderExists 方法 如果指定的文件夹存在,则返回 True;否则返回 False。 object.FolderExists(folderspec) 参数 object 必选项
FileExists 方法 如果指定的文件存在返回 True;否则返回 False。 object.FileExists(filespec) 参数 object 必选项。应为 FileS
我是一名优秀的程序员,十分优秀!