Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript 具有NONCE和子资源完整性的内容安全策略_Javascript_Security_Http Headers_Content Security Policy - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript 具有NONCE和子资源完整性的内容安全策略

Javascript 具有NONCE和子资源完整性的内容安全策略

javascript security

Javascript 具有NONCE和子资源完整性的内容安全策略,javascript,security,http-headers,content-security-policy,Javascript,Security,Http Headers,Content Security Policy,我正在探索我可以/应该在我的网站上使用CSP和SRI的方式 对于我的网站,我希望使用CSP,类似这样的东西 Content-Security-Policy: block-all-mixed-content; base-uri https://www.example.com; default-src 'self'; object-src 'none'; script-src 'strict-dynamic' 'nonce-RandomValue' 'unsafe-inline' https:; r

我正在探索我可以/应该在我的网站上使用CSP和SRI的方式

对于我的网站,我希望使用CSP,类似这样的东西

Content-Security-Policy:
block-all-mixed-content;
base-uri https://www.example.com;
default-src 'self';
object-src 'none';
script-src 'strict-dynamic' 'nonce-RandomValue' 'unsafe-inline' https:;
report-uri https://www.example.com/report;
注意:我根据使用了建议,所以不要对“不安全内联”指令或不使用白名单uri给我带来麻烦

我的站点还对所有外部源脚本使用子资源完整性检查,因此我认为我可能还应该包括CSP指令

Content-Security-Policy: require-sri-for script
我的站点还包含一些内联脚本(这就是为什么我想使用CSP随机nonce,但意味着我必须使用它)

使用SRI以及实现CSP随机nonce有意义吗?
如果不是,那么什么是好的做法?

澄清一下:你说你的网站已经通过某种方法进行了SRI检查。这是CSP SRI,但仅用于外部资源,还是其他方法?CSP SRI的使用会使这些资源的完整性检查加倍吗?是的,该网站已经对这样的资源执行了SRI-我的理解是,“脚本需要SRI”指令只是强制所有脚本使用SRI,因此不会出现加倍。如果我错了,有人能澄清一下吗?澄清一下:你说你的网站已经通过某种方法进行了SRI检查。这是CSP SRI,但仅用于外部资源,还是其他方法?CSP SRI的使用会使这些资源的完整性检查加倍吗?是的,该网站已经对这样的资源执行了SRI-我的理解是,“脚本需要SRI”指令只是强制所有脚本使用SRI,因此不会出现加倍。如果我错了,有人能澄清一下吗?