CSP nginx nonce

Question

我有一些问题，添加CSP到我的网站。我只在nginx配置中配置了内容-安全性-策略-报表。我明白了。

adsbygoogle.js:37 只报告拒绝应用内联样式，因为它违反了以下内容安全策略指令：" style -src http://example.com“。要么是‘不安全-内联’关键字，要么是散列('sha256-c+dT7QO/wB/DJJUeioTL/YNq09s5o1WF1vk5RjJU/4I=')，，要么是“不安全-.”)需要启用内联执行。(匿名函数)@ adsbygoogle.js:37

我找到了解决办法。但我看到的每一个地方都是这样的：“打开‘不安全-内联’”。但它的方法不安全。我想我可以用“现在-”。但我不知道如何在nginx conf中实现这一点。你能帮帮我吗?

Answer 1

仅仅修改nginx配置以使用nonces是不够的。

必须为每个请求生成非can，这样攻击者就无法知道它们(否则，他们只需注入一个脚本/资源就可以了)。

因此：

• 如果您使用nginx作为反向代理，则您的应用程序(nginx后面)必须进行修改，以便它将生成一个nonce，并将其添加到其输出中的所有<script>块和<style>块中，并提供相应的CSP头。
• 如果您使用nginx来提供静态文件，请将<script>和<style>内容移动到单独的文件中，计算它们的散列，然后使用哈希。

现在，在回答了一般性问题之后，让我们来谈谈具体问题。从你的错误信息来看，我认为你说的是//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js.该脚本似乎使用内联样式，但不受您的控制，因此您不能使用非can。除了要求Google修改脚本之外，我看不出你能做什么。