Rails 5.2:设置 CSP 随机数的最佳实践
Rails 5.2: Best practice for setting CSP nonce
我们的应用程序在 Rails 5.2 上运行,它在没有资产管道的情况下使用 webpacker 提供资产。我想知道在脚本标签上设置随机数属性的最佳方法是什么。
在content_security_policy.rb中,有一个UJS的content_security_policy_nonce_generator,我想知道我是否仍然可以使用它而没有任何副作用。以下工作,我只是想知道做这样的事情的最佳实践是什么。
#initializers/content_security_policy.rb
# If you are using UJS then enable automatic nonce generation
Rails.application.config.content_security_policy_nonce_generator = -> request { SecureRandom.base64(16)
在application.html.erb中,如果我想在脚本标签上使用随机数,我将不得不从请求中获取它。根据这里:https://api.rubyonrails.org/classes/ActionDispatch/ContentSecurityPolicy/Request.html#method-i-content_security_policy_nonce
#app/views/layouts/application.html.erb
<!DOCTYPE html>
<html dir="ltr">
<head>
<title>FruitsMarket</title>
<%= csrf_meta_tags %>
<%= csp_meta_tag %>
<%= stylesheet_pack_tag 'application' %>
<%= javascript_pack_tag 'polyfills' %>
<%= javascript_pack_tag 'application' %>
<script type="text/javascript" nonce=<%= request.content_security_policy_nonce %>>
alert('hi');
</script>
</head>
<body>
<%= yield %>
</body>
</html>
找到了 https://api.rubyonrails.org/classes/ActionView/Helpers/JavaScriptHelper.html
原来
有一个 ruby 查看助手
<%= javascript_tag nonce: true do -%>
alert('All is good')
<% end -%>
我们的应用程序在 Rails 5.2 上运行,它在没有资产管道的情况下使用 webpacker 提供资产。我想知道在脚本标签上设置随机数属性的最佳方法是什么。
在content_security_policy.rb中,有一个UJS的content_security_policy_nonce_generator,我想知道我是否仍然可以使用它而没有任何副作用。以下工作,我只是想知道做这样的事情的最佳实践是什么。
#initializers/content_security_policy.rb
# If you are using UJS then enable automatic nonce generation
Rails.application.config.content_security_policy_nonce_generator = -> request { SecureRandom.base64(16)
在application.html.erb中,如果我想在脚本标签上使用随机数,我将不得不从请求中获取它。根据这里:https://api.rubyonrails.org/classes/ActionDispatch/ContentSecurityPolicy/Request.html#method-i-content_security_policy_nonce
#app/views/layouts/application.html.erb
<!DOCTYPE html>
<html dir="ltr">
<head>
<title>FruitsMarket</title>
<%= csrf_meta_tags %>
<%= csp_meta_tag %>
<%= stylesheet_pack_tag 'application' %>
<%= javascript_pack_tag 'polyfills' %>
<%= javascript_pack_tag 'application' %>
<script type="text/javascript" nonce=<%= request.content_security_policy_nonce %>>
alert('hi');
</script>
</head>
<body>
<%= yield %>
</body>
</html>
找到了 https://api.rubyonrails.org/classes/ActionView/Helpers/JavaScriptHelper.html 原来
有一个 ruby 查看助手<%= javascript_tag nonce: true do -%>
alert('All is good')
<% end -%>