wordpress和CSP

Question

有没有人无意中在wordpress中用几个插件在dom中吐出js来保护头文件(CSP)？

我正在尝试使用CSP来增强头文件，并删除script-src指令中的'unsafe-inline‘。

一些静态的js我可以用散列来加载它们，但是当涉及到动态时，它就变得很麻烦。我重写了一些将js拼写为包含nonce的函数，并在CSP中添加了nonce，但每次有人添加一个行为类似的插件或更新一个修改过的插件时，我将不得不重做，因此这种方式不是很健壮。

除了允许内联和从不更新插件之外，还有其他的想法吗？

最好的

Answer 1

使用.htaccess是在wordpress中使用CSP的一种更健壮的方式。只需在.htaccess文件中添加以下代码即可。一些插件仍然可能崩溃，所以一定要在下面添加插件的用法，比如googleapis等等。这样你就不必担心任何插件的更新了。

<IfModule mod_headers.c>
  Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: 
  *.gravatar.com;"
</IfModule>

但是如果你在前端使用它，这会破坏wordpress后端，所以要修复它，只需将下面的代码添加到wp-admin/.htaccess中。

<IfModule mod_headers.c>
  Header set Content-Security-Policy "default-src 'self'; img-src 'self' data: http: 
  https: *.gravatar.com; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 
  'self' 'unsafe-inline' http: https: fonts.googleapis.com; font-src 'self' 
  data: http: 
  https: fonts.googleapis.com themes.googleusercontent.com;"
</IfModule>

参考：

Content Security Policy

Answer 2

只需在wp- .htaccess中创建一个文件管理员并设置

<IfModule mod_headers.c> Header unset Content-Security-Policy </IfModule>