为什么 Chrome 不尊重我的内容安全策略散列?
Why doesn't Chrome respect my Content Security Policy hashes?
我必须将 CSP 添加到具有内联样式的页面,并且为了避免使用 unsafe-inline 我正在使用散列。我添加散列的技术只是加载 Chrome 中的页面,查看错误消息并复制所有建议的散列(例如从 Refused to apply inline style because it violates the following Content Security Policy directive: "style-src ...". Either the 'unsafe-inline' keyword, a hash ('<suggested hash>'), or... is required to enable inline execution. 中获取 <suggested hash>)。
这解决了 Firefox 中的问题,但未解决 Chrome 中的问题。奇怪的是,Chrome 似乎不尊重它自己生成的哈希值。这导致了一个有趣的情况,即 Chrome 列出了包含哈希的策略,说它不符合要求,然后建议我添加它之前打印的策略中的哈希。
我的保单:
default-src 'none'; font-src 'self' data:; img-src 'self'; script-src 'self' 'report-sample'; style-src 'self' 'sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI=' 'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=' 'sha256-OTeu7NEHDo6qutIWo0F2TmYrDhsKWCzrUgGoxxHGJ8o=' 'sha256-fviu5RwuBYFcCd5CDanhy6NCLufcwvCAbm061aSqhoQ=' 'sha256-wS7xf+bhXBr5EM064hQkAW0vX3ks5VoxbGn+KQC/Vhk=' 'sha256-cxL35Ug49Sl1zHMOdz/r0xinQ6BYGgClHdDCk2XPTzE='; object-src 'self'; connect-src 'self'
这会导致许多错误,例如:
Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self' 'sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI=' 'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=' 'sha256-OTeu7NEHDo6qutIWo0F2TmYrDhsKWCzrUgGoxxHGJ8o=' 'sha256-fviu5RwuBYFcCd5CDanhy6NCLufcwvCAbm061aSqhoQ=' 'sha256-wS7xf+bhXBr5EM064hQkAW0vX3ks5VoxbGn+KQC/Vhk=' 'sha256-cxL35Ug49Sl1zHMOdz/r0xinQ6BYGgClHdDCk2XPTzE='". Either the 'unsafe-inline' keyword, a hash ('sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI='), or a nonce ('nonce-...') is required to enable inline execution. 其中 Chrome 建议我添加策略中已存在的散列。
可能我遗漏了一些 Chrome 特定的问题。有什么想法吗?
我假设您在样式属性中有内联样式(与内联 <style> 元素相反)。根据 CSP specification,散列应仅应用于内联 <style> 元素,而不应用于样式属性。
虽然 Chrome 显示样式属性的错误消息非常混乱,但它实际上符合规范(其他一些浏览器,例如 Firefox 和 IE 不符合)。在 Chrome 中,您不能允许在 CSP 中使用哈希码的内联样式属性。如果您绝对需要允许它们,则必须使用 'unsafe-inline'.
CSP 3.0 规范可能会包括使用 'unsafe-hashes' 将哈希码扩展到样式属性的可能性。不过,此功能目前仍处于“进行中”状态,并且似乎尚未在 Chrome 中实现。
示例:
<?php
header("Content-Security-Policy: style-src 'self' 'sha256-U/AHSCAVB2ZhU2+kPeMhPfZyIE2wH4fhQ0ZtYjq9/JA=' 'sha256-l8V8xXSfpuv7xbN4e0tIS0v77DG2xfSC1rSpNZak/K8='");
header("Content-Type: text/html");
?>
<!DOCTYPE html>
<html>
<head>
<!-- Inline style - 'sha256-U/AHSCAVB2ZhU2+kPeMhPfZyIE2wH4fhQ0ZtYjq9/JA=' -->
<style>.redtext {color: red;}</style>
</head>
<body>
<div class="redtext">This should be red - style from <style> element.</div>
<!-- Inline style in attribute - 'sha256-l8V8xXSfpuv7xbN4e0tIS0v77DG2xfSC1rSpNZak/K8=' -->
<div style = "color: green;">This should not be green - style from attribute should be disallowed even though its hash is included in style-src in CSP.</div>
</body>
</html>
我必须将 CSP 添加到具有内联样式的页面,并且为了避免使用 unsafe-inline 我正在使用散列。我添加散列的技术只是加载 Chrome 中的页面,查看错误消息并复制所有建议的散列(例如从 Refused to apply inline style because it violates the following Content Security Policy directive: "style-src ...". Either the 'unsafe-inline' keyword, a hash ('<suggested hash>'), or... is required to enable inline execution. 中获取 <suggested hash>)。
这解决了 Firefox 中的问题,但未解决 Chrome 中的问题。奇怪的是,Chrome 似乎不尊重它自己生成的哈希值。这导致了一个有趣的情况,即 Chrome 列出了包含哈希的策略,说它不符合要求,然后建议我添加它之前打印的策略中的哈希。
我的保单:
default-src 'none'; font-src 'self' data:; img-src 'self'; script-src 'self' 'report-sample'; style-src 'self' 'sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI=' 'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=' 'sha256-OTeu7NEHDo6qutIWo0F2TmYrDhsKWCzrUgGoxxHGJ8o=' 'sha256-fviu5RwuBYFcCd5CDanhy6NCLufcwvCAbm061aSqhoQ=' 'sha256-wS7xf+bhXBr5EM064hQkAW0vX3ks5VoxbGn+KQC/Vhk=' 'sha256-cxL35Ug49Sl1zHMOdz/r0xinQ6BYGgClHdDCk2XPTzE='; object-src 'self'; connect-src 'self'
这会导致许多错误,例如:
Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self' 'sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI=' 'sha256-47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=' 'sha256-OTeu7NEHDo6qutIWo0F2TmYrDhsKWCzrUgGoxxHGJ8o=' 'sha256-fviu5RwuBYFcCd5CDanhy6NCLufcwvCAbm061aSqhoQ=' 'sha256-wS7xf+bhXBr5EM064hQkAW0vX3ks5VoxbGn+KQC/Vhk=' 'sha256-cxL35Ug49Sl1zHMOdz/r0xinQ6BYGgClHdDCk2XPTzE='". Either the 'unsafe-inline' keyword, a hash ('sha256-/3kWSXHts8LrwfemLzY9W0tOv5I4eLIhrf0pT8cU0WI='), or a nonce ('nonce-...') is required to enable inline execution. 其中 Chrome 建议我添加策略中已存在的散列。
可能我遗漏了一些 Chrome 特定的问题。有什么想法吗?
我假设您在样式属性中有内联样式(与内联 <style> 元素相反)。根据 CSP specification,散列应仅应用于内联 <style> 元素,而不应用于样式属性。
虽然 Chrome 显示样式属性的错误消息非常混乱,但它实际上符合规范(其他一些浏览器,例如 Firefox 和 IE 不符合)。在 Chrome 中,您不能允许在 CSP 中使用哈希码的内联样式属性。如果您绝对需要允许它们,则必须使用 'unsafe-inline'.
CSP 3.0 规范可能会包括使用 'unsafe-hashes' 将哈希码扩展到样式属性的可能性。不过,此功能目前仍处于“进行中”状态,并且似乎尚未在 Chrome 中实现。
示例:
<?php
header("Content-Security-Policy: style-src 'self' 'sha256-U/AHSCAVB2ZhU2+kPeMhPfZyIE2wH4fhQ0ZtYjq9/JA=' 'sha256-l8V8xXSfpuv7xbN4e0tIS0v77DG2xfSC1rSpNZak/K8='");
header("Content-Type: text/html");
?>
<!DOCTYPE html>
<html>
<head>
<!-- Inline style - 'sha256-U/AHSCAVB2ZhU2+kPeMhPfZyIE2wH4fhQ0ZtYjq9/JA=' -->
<style>.redtext {color: red;}</style>
</head>
<body>
<div class="redtext">This should be red - style from <style> element.</div>
<!-- Inline style in attribute - 'sha256-l8V8xXSfpuv7xbN4e0tIS0v77DG2xfSC1rSpNZak/K8=' -->
<div style = "color: green;">This should not be green - style from attribute should be disallowed even though its hash is included in style-src in CSP.</div>
</body>
</html>