Можем ли мы использовать 'self' с 'unsafe-Inline' вместо nonce для политики безопасности контента?

Question

Можем ли мы использовать 'self' с 'unsafe-Inline' вместо nonce для политики безопасности контента?

У нас возникает проблема с безопасностью из-за небезопасного встроенного в заголовок, и, согласно команде безопасности, мы должны использовать одноразовый номер, но его сложно использовать со встроенным методом обработчика событий, поэтому мы ищем возможность использовать «я» вместо одноразового номера.

1

spring-mvc content-security-policy nonce unsafe-inline

Источник

user10074451 25 июн '22 в 11:58

1 ответ

Другие вопросы по тегам spring-mvc content-security-policy nonce unsafe-inline

user9239311 27 июн '22 в 08:17 2022-06-27 08:17 · Answer 1 · 2022-06-27 08:17

Встроенные обработчики событий не являются элементами nonceable, поэтому вы не можете разрешить их использование с одноразовым номером. Вы можете использовать «unsafe-inline» или переписать обработку событий в файл на вашем сервере, для чего вам потребуется «self» для загрузки. Добавление 'self' позволит загружать файлы в соответствии с этой директивой, но не позволит напрямую использовать встроенные обработчики событий.