Html 内容安全策略：内联样式的样式src“self”替代方案？_Html_Css_Security_Content Security Policy

Html 内容安全策略：内联样式的样式src“self”替代方案？

html css security

Html 内容安全策略：内联样式的样式src“self”替代方案？,html,css,security,content-security-policy,Html,Css,Security,Content Security Policy,您好，我们尝试构建一个安全性是一个重要问题的web服务。我们在标题中应用内容安全策略，如下所示： Content-Security-Policy: script-src 'self'; object-src 'self'; font-src 'self'; connect-src 'self'; frame-src 'self'; media-src 'self'; style-src 'unsafe-inline' 'self' 问题在于，由于某些Javascript/JQuery库的功能性

您好，我们尝试构建一个安全性是一个重要问题的web服务。我们在标题中应用内容安全策略，如下所示：

Content-Security-Policy: script-src 'self'; object-src 'self'; font-src 'self'; connect-src 'self'; frame-src 'self'; media-src 'self'; style-src 'unsafe-inline' 'self'

问题在于，由于某些Javascript/JQuery库的功能性，内联样式只是需要的，我们无法重写所有库，而且还会有用户内容用TinyMCE或其他HTML编辑器编写，因此不允许使用CSS内联样式

以下是为什么这会成为一个安全问题的答案：

是否有人知道可以将某些内联样式列为白名单，例如允许颜色和字体大小，但不允许背景图像和高级CSS功能？PHP中的服务器端安全白名单过滤器是否可能推荐欢迎

使用nonce或hash是否足够好？这将允许您将服务器提供的某些样式表列入白名单。是的，这可能是一个解决方案：-目前：我们以这种方式解决它，并为每个可能显示的HTML安装带有白名单HTML/CSS属性的HTML净化器。但也许还有人知道另一种选择