问题描述
我有 asp.net webforms 项目。我的内容安全策略头如下
default-src 'self' 'unsafe-eval' data:;style-src 'self' 'unsafe-inline';img-src * 'self' data:;font-src 'self' https://fonts.gstatic.com data:;frame-src * data: blob: js: javascript:;script-src 'self' 'unsafe-hashes' 'unsafe-inline' 'unsafe-eval' 'nonce-random123' 'strict-dynamic'; frame-ancestors 'self';worker-src 'self' blob: ; script-src-attr 'self' 'unsafe-hashes' 'unsafe-inline' 'unsafe-eval'
在我的页面中,所有内联 html 脚本都可以正常工作,例如
<body onload="javascript:"> <input type="submit" onclick="javascript: ">
但是,如果我使用
<a href="javascript:webpostback()">
,它在控制台中抛出错误“拒绝运行 JavaScript URL,因为它违反了以下内容安全策略指令:”。为什么它会在 href 上引发错误,但不会在其他事件处理程序上引发错误,有什么可以避免的。
注意:我无法控制生成的内联脚本。因为项目是在webforms上
控制台错误: Hello.aspx?A686142D6EC3F5E2=BD6AB64D03BB016326187CE1819DFD28:1 拒绝运行 JavaScript URL,因为它违反了以下内容安全策略指令:“script-src 'self''unsafe-hashes 'unsafe-inline' 'unsafe-eval' 'nonce-73cfe2af-3129-4148-98eb-c0e6e442c1f0' 'strict-dynamic'"。请注意,如果源列表中存在哈希值或现时值,则忽略“unsafe-inline”。
解决方法
一个 'unsafe-hashes'
令牌 should be paired,带有所有内联事件处理程序和 javascript:-navigations 的 'hash-value'
令牌,旨在被允许。例如,要允许 <a href="javascript:webpostback()">
,您必须使用 hash:
script-src-attr 'unsafe-hashes' 'sha256-9X0thXkX9FwOrSOPpwOgHBUeXkoM5C9BR3EfKcuXYZg=';
注意 1:'self'
和 'unsafe-eval'
在 script-src-attr
中是 not supported。
注意 2:'unsafe-inline'
不能与 'unsafe-hashes' 配对,因为 'hash-value'
取消了 'unsafe-inline'
。
为什么它会在 href 上引发错误,而不会在其他事件处理程序上引发错误
很奇怪。以上两个的 Chrome 浏览器 supports 'unsafe-hashes'
令牌。使用您展示的 CSP,Chrome 应该抛出错误以及内联事件处理程序和 JS 导航。
Chrome 唯一有一个 bug 错误定义了 javascript:-navigation 中的违反指令。 JS:-navigation 包含在 script-src-attr
指令中。但正如您在控制台错误中看到的那样,尽管 CSP 中有 script-src
,但 Chrome 仍会显示 script-src-attr
中发生违规。
Firefox 浏览器 supports 'unsafe-hashes'
用于内联事件处理程序(带有错误),但不支持 'unsafe-hashes'
用于 javascript:-navigations。
Safari 完全执行 not support 'unsafe-hashes'
。
因此目前它只是使用 'unsafe-hashes'
的一种方式:
script-src 'unsafe-inline'; script-src-attr 'unsafe-hashes' 'sha256-...' 'sha256-...';
Chrome 将遵循 script-src-attr
指令,其他浏览器不支持它,将使用 'unsafe-inline'
中的 'script-src'
。
Chrome 用户会非常安全,但您不能使用 'nonce-value'
/ 'hash-value'
/ 'strict-dynamic'
令牌,因为这些令牌会覆盖 'unsafe-inline'
。