Мобильная версияЯ знаю, что об этом спрашивали бесчисленное количество раз, но я не могу найти решение своей проблемы.
Проблема: я не могу использовать nonce и Content-Security-Policy. генерируется ошибка.
Ошибка в console.log: отказ применить встроенный стиль, поскольку он нарушает следующую директиву политики безопасности контента: «default-src 'self'». Для включения встроенного выполнения требуется ключевое слово unsafe-inline, хэш (sha256-eM7IckhPhRx5dBGXZhwsgAKulpq/euetK0YPweqUKX4=') или nonce (nonce-...). Обратите внимание, что хеши не применяются к обработчикам событий, атрибутам стиля и навигации по JavaScript, если не присутствует ключевое слово unsafe-hashes. Также обратите внимание, что «style-src» не был установлен явно, поэтому «default-src» используется как запасной вариант.
Что я также пробовал: я также пробовал использовать mod_unique_id вместо использования PHP. установил env, но выдает внутреннюю ошибку сервера.
Что я делаю неправильно
Мой код:
. htaccess
Options +FollowSymLinks
RewriteEngine On
FileETag None
Header unset ETag
Header set Cache-Control "max-age=0, no-cache, no-store, must-revalidate"
Header set Pragma "no-cache"
Header set Expires "Wed, 11 Jan 1984 05:00:00 GMT"
Header set Connection keep-alive
Header set X-XSS-Protection "1; mode=block"
SetEnv MY_CSP_NONCE ""
Header always set Content-Security-Policy "expr=default-src 'none'; script-src 'self' require-trusted-types-for 'script' https://www.googletagmanager.com https://www.facebook.com https://www.twitter.com https://www.instagram.com 'nonce-%{ENV:MY_CSP_NONCE}' 'strict-dynamic' 'wasm-eval' 'unsafe-eval'; script-src-elem 'self'; connect-src 'self'; img-src 'self' https://storage.googleapis.com data:; video-src 'self' https://storage.googleapis.com data:; style-src 'self' style-src-attr 'self' 'nonce-%{ENV:MY_CSP_NONCE}'; base-uri 'none'; object-src 'none'; frame-ancestors 'self'; frame-src 'self'; sandbox allow-same-origin allow-scripts allow-popups; media-src 'self'; worker-src 'self https://*.cloudflare.com'; manifest-src 'self'; child-src 'self'; prefetch-src 'self' https://storage.googleapis.com https://www.googletagmanager.com; form-action 'self' https://www.paystack.com; font-src 'self' data:; upgrade-insecure-requests"
Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
Header always set Content-Security-Policy-Report-Only "default-src 'self'; report-uri https://www.example.com/csp-report-endpoint"
Header always set X-Frame-Options "sameorigin"
Header set X-Content-Type-Options "nosniff"
Header set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
Header always set Cross-Origin-Opener-Policy "same-origin-allow-popups"
Header always set Cross-Origin-Resource-Policy "same-site"
SetEnvIf Referer "^https://storage.googleapis.com" CORP_EXEMPT
Header always set Cross-Origin-Embedder-Policy "require-same-origin"
Header always set Cross-Origin-Embedder-Policy "unsafe-none" env=CORP_EXEMPT
Header set Cross-Origin-Embedder-Policy "unsafe-none" "expr=%{REQUEST_URI} =~ m!\.(png|jpe?g|gif|svg|webp|avif|mp4|webm|m4a|ogv)$!"
RewriteCond %{SCRIPT_FILENAME} !-d
RewriteCond %{SCRIPT_FILENAME} !-f
RewriteRule ^index$ ./index.php
RewriteRule ^about$ ./about.php
RewriteRule ^404$ ./404.php
RewriteRule ^500$ ./500.php
ErrorDocument 404 https://www.example.com/404
IndexIgnore *
my cookiesetter.php — здесь хранится nonce для включения в каждый скрипт
и index.php
Example
Подробнее здесь: https://stackoverflow.com/questions/775 ... ity-policy
Динамический Nonce: ошибка при использовании динамического nonce в .htaccess Content-Security-Policy (CSP) и PHP. ⇐ Php
Кемеровские программисты php общаются здесь
1716006708
Anonymous
Я знаю, что об этом спрашивали бесчисленное количество раз, но я не могу найти решение своей проблемы.
Проблема: я не могу использовать nonce и Content-Security-Policy. генерируется ошибка.
Ошибка в console.log: отказ применить встроенный стиль, поскольку он нарушает следующую директиву политики безопасности контента: «default-src 'self'». Для включения встроенного выполнения требуется ключевое слово unsafe-inline, хэш (sha256-eM7IckhPhRx5dBGXZhwsgAKulpq/euetK0YPweqUKX4=') или nonce (nonce-...). Обратите внимание, что хеши не применяются к обработчикам событий, атрибутам стиля и навигации по JavaScript, если не присутствует ключевое слово unsafe-hashes. Также обратите внимание, что «style-src» не был установлен явно, поэтому «default-src» используется как запасной вариант.
Что я также пробовал: я также пробовал использовать mod_unique_id вместо использования PHP. установил env, но выдает внутреннюю ошибку сервера.
Что я делаю неправильно
Мой код:
. htaccess
Options +FollowSymLinks
RewriteEngine On
FileETag None
Header unset ETag
Header set Cache-Control "max-age=0, no-cache, no-store, must-revalidate"
Header set Pragma "no-cache"
Header set Expires "Wed, 11 Jan 1984 05:00:00 GMT"
Header set Connection keep-alive
Header set X-XSS-Protection "1; mode=block"
SetEnv MY_CSP_NONCE ""
Header always set Content-Security-Policy "expr=default-src 'none'; script-src 'self' require-trusted-types-for 'script' https://www.googletagmanager.com https://www.facebook.com https://www.twitter.com https://www.instagram.com 'nonce-%{ENV:MY_CSP_NONCE}' 'strict-dynamic' 'wasm-eval' 'unsafe-eval'; script-src-elem 'self'; connect-src 'self'; img-src 'self' https://storage.googleapis.com data:; video-src 'self' https://storage.googleapis.com data:; style-src 'self' style-src-attr 'self' 'nonce-%{ENV:MY_CSP_NONCE}'; base-uri 'none'; object-src 'none'; frame-ancestors 'self'; frame-src 'self'; sandbox allow-same-origin allow-scripts allow-popups; media-src 'self'; worker-src 'self https://*.cloudflare.com'; manifest-src 'self'; child-src 'self'; prefetch-src 'self' https://storage.googleapis.com https://www.googletagmanager.com; form-action 'self' https://www.paystack.com; font-src 'self' data:; upgrade-insecure-requests"
Header set Feature-Policy "geolocation 'self'; vibrate 'none'"
Header always set Content-Security-Policy-Report-Only "default-src 'self'; report-uri https://www.example.com/csp-report-endpoint"
Header always set X-Frame-Options "sameorigin"
Header set X-Content-Type-Options "nosniff"
Header set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
Header always set Cross-Origin-Opener-Policy "same-origin-allow-popups"
Header always set Cross-Origin-Resource-Policy "same-site"
SetEnvIf Referer "^https://storage.googleapis.com" CORP_EXEMPT
Header always set Cross-Origin-Embedder-Policy "require-same-origin"
Header always set Cross-Origin-Embedder-Policy "unsafe-none" env=CORP_EXEMPT
Header set Cross-Origin-Embedder-Policy "unsafe-none" "expr=%{REQUEST_URI} =~ m!\.(png|jpe?g|gif|svg|webp|avif|mp4|webm|m4a|ogv)$!"
RewriteCond %{SCRIPT_FILENAME} !-d
RewriteCond %{SCRIPT_FILENAME} !-f
RewriteRule ^index$ ./index.php
RewriteRule ^about$ ./about.php
RewriteRule ^404$ ./404.php
RewriteRule ^500$ ./500.php
ErrorDocument 404 https://www.example.com/404
IndexIgnore *
my cookiesetter.php — здесь хранится nonce для включения в каждый скрипт
и index.php
Example
Подробнее здесь: [url]https://stackoverflow.com/questions/77579409/dynamic-nonce-error-using-dynamic-nonce-in-htaccess-content-security-policy[/url]
Ответить
1 сообщение
• Страница 1 из 1
Перейти
- Кемерово-IT
- ↳ Javascript
- ↳ C#
- ↳ JAVA
- ↳ Elasticsearch aggregation
- ↳ Python
- ↳ Php
- ↳ Android
- ↳ Html
- ↳ Jquery
- ↳ C++
- ↳ IOS
- ↳ CSS
- ↳ Excel
- ↳ Linux
- ↳ Apache
- ↳ MySql
- Детский мир
- Для души
- ↳ Музыкальные инструменты даром
- ↳ Печатная продукция даром
- Внешняя красота и здоровье
- ↳ Одежда и обувь для взрослых даром
- ↳ Товары для здоровья
- ↳ Физкультура и спорт
- Техника - даром!
- ↳ Автомобилистам
- ↳ Компьютерная техника
- ↳ Плиты: газовые и электрические
- ↳ Холодильники
- ↳ Стиральные машины
- ↳ Телевизоры
- ↳ Телефоны, смартфоны, плашеты
- ↳ Швейные машинки
- ↳ Прочая электроника и техника
- ↳ Фототехника
- Ремонт и интерьер
- ↳ Стройматериалы, инструмент
- ↳ Мебель и предметы интерьера даром
- ↳ Cантехника
- Другие темы
- ↳ Разное даром
- ↳ Давай меняться!
- ↳ Отдам\возьму за копеечку
- ↳ Работа и подработка в Кемерове
- ↳ Давай с тобой поговорим...
