文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >CSP发行LottiePlayer

CSP发行LottiePlayer
EN

Stack Overflow用户
提问于 2021-06-08 23:46:34
回答 1查看 282关注 0票数 0

我通过PHP使用了现在的生成程序,generation:

代码语言:javascript
复制
fastcgi_param NONCE $nonce;

在CSP中,我添加了(使用NGINX +头):

代码语言:javascript
复制
script-src 'strict-dynamic' 'nonce-${nonce}'

整个CSP看起来如下:

代码语言:javascript
复制
add_header Content-Security-Policy "default-src 'none'; frame-ancestors 'self'; base-uri 'none'; form-action 'self'; script-src 'strict-dynamic' 'nonce-${nonce}'; script-src-elem 'self'; connect-src 'self' 'nonce-${nonce}' https://www.w3.org; img-src 'self'; font-src 'self'; style-src 'self'";

通过PHP添加:

代码语言:javascript
复制
nonce="<?= $_SERVER['NONCE']?>"

在DevTools中,我只看到:

代码语言:javascript
复制
nonce

没有:

代码语言:javascript
复制
nonce="number"

这是正确的吗?

--这个问题已经得到了应有的解决.

主要的问题是,我在DevTools错误中看到,它来自于使用lottie player脚本,它说我不使用nonce,或者我肯定会使用sha散列。

错误如下:

代码语言:javascript
复制
lottie-player.js:1 Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256-4Czhp/5smweUxQ0BkhMh9cmbPz4zsdDHhq70HOQBcHY='), or a nonce ('nonce-...') is required to enable inline execution. Note that hashes do not apply to event handlers, style attributes and javascript: navigations unless the 'unsafe-hashes' keyword is present.

此错误发生于通过以下方式使用的每个lottie:

代码语言:javascript
复制
 <lottie-player></lottie-player>

这是调用以下脚本:

代码语言:javascript
复制
<script type="text/javascript" src="/lottie-player.js" nonce="<?= $_SERVER['REQUEST_ID'] ?>"></script>

用法:

代码语言:javascript
复制
<lottie-player src="/main.json" background="transparent" speed="1" autoplay></lottie-player>

我还试着直接把现在添加到彩票播放器中,看起来如下所示:

代码语言:javascript
复制
<lottie-player src="/main.json" background="transparent" speed="1" autoplay nonce="<?= $_SERVER['REQUEST_ID'] ?>"></lottie-player>

但这不是解决办法,这也是我寻求帮助的原因。

php
security
web
content-security-policy
javascript
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2021-06-09 15:30:35

简略地:使整个CSP看起来像:

add_header Content-Security-Policy "default-src 'none'; frame-ancestors 'self'; base-uri 'none'; form-action 'self'; script-src 'strict-dynamic' 'nonce-${nonce}'; script-src-elem 'self'; connect-src 'self' https://www.w3.org; img-src 'self'; font-src 'self'; style-src 'self' 'unsafe-inline'";

正在改变的是:

  • script-src-elem 'self';被完全删除
  • 'nonce-${nonce}'被从connect-src指令中删除,在那里不支持它
  • 'unsafe-inline'style-src指令的加载项

请注意,Safari 不支持 'strict-dynamic'因此可能需要为辅助脚本添加一些主机源。

TD;DR;或发生了什么

  1. 主要问题是您在STYLE-src中违反了CSP (“拒绝应用内联样式它违反了以下内容安全策略指令:"style-src‘self’”)。但是,您正试图通过将'nonce-value'添加到SCRIPT-src中来修复它。您必须将'nonce-value'添加到style-src指令中,将nonce='value'属性添加到所有<style>标记中。如果使用内联样式类型的<tag style='...'>,则nonce根本不有用(因此在现阶段通过'unsafe-inline'解决了这个问题)。
  2. Chrome浏览器支持script-src-elem指令,因此Chrome不会使用script-src 'strict-dynamic' 'nonce-${nonce}',所有<scrit><script src='...'>标记都将使用script-src-elem 'self';。我不认为这是你想要的。 其他浏览器将忽略script-src-elem并使用script-src 'strict-dynamic' 'nonce-${nonce}',但Safari将忽略'strict-dynamic'。因此,在使用加载子脚本的情况下,必须将它们的主机源添加到script-src指令中。
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/67895835

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档