未检测到 CSP header
CSP header not detected
出于某种原因,Mozilla Observatory 和 CSP 验证器都没有在我的 .htaccess 文件中检测到 CSP header,但是通过 Chrome.[=12 查看时 header 是可见的=]
这是我当前的 CSP header 在我的 .htaccess 文件中;
Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;
我还注意到 nonce 不起作用,内联脚本仍然在没有 nonce 的情况下加载,但如果我对 CSP 进行修改,它可能会限制脚本执行和内联元素的显示。
信息:
服务器是光速。
PHP 版本为 7.1
通过将 .htaccess 中的行修改为以下内容解决了问题;
Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"
现在唯一的问题是添加了 unsafe-inline 但据我所知,strict-dynamic 和 nonce 不能用作跨平台解决方案,我必须为某些 onclick 事件使用内联 js。
出于某种原因,Mozilla Observatory 和 CSP 验证器都没有在我的 .htaccess 文件中检测到 CSP header,但是通过 Chrome.[=12 查看时 header 是可见的=]
这是我当前的 CSP header 在我的 .htaccess 文件中;
Content-Security-Policy: script-src 'nonce-$RANDOM' 'strict-dynamic' 'unsafe-inline' object-src 'none'; base-uri 'none'; report-uri https://altfit.report-uri.com/r/d/csp/enforce;
我还注意到 nonce 不起作用,内联脚本仍然在没有 nonce 的情况下加载,但如果我对 CSP 进行修改,它可能会限制脚本执行和内联元素的显示。
信息: 服务器是光速。 PHP 版本为 7.1
通过将 .htaccess 中的行修改为以下内容解决了问题;
Header set Content-Security-Policy: "default-src https: 'unsafe-inline'; report-uri https://altfitcom.report-uri.com/r/d/csp/enforce;"
现在唯一的问题是添加了 unsafe-inline 但据我所知,strict-dynamic 和 nonce 不能用作跨平台解决方案,我必须为某些 onclick 事件使用内联 js。