riddlr
@riddlr

Будут ли работать корректно 2 Content-Security-Policy заголовка?

У меня приложение, которое делает серверный рендеринг. Кроме того. оно проксируется через nginx.

Я сделал настройки CSP в nginx, но проблема в том, что приложение (точнее фреймворк) ижнектит свои скрипты в верстку, поэтому мне надо использовать hash, который может предоставить только приложение. Я настроил заголовки CSP в приложении (касательно script-src), но теперь у меня примерно такая картина

Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; media-src 'self'; frame-src 'self'; font-src 'self'; connect-src 'self' ws://node.server; form-action 'self'; manifest-src 'self'
Content-Security-Policy: script-src 'self' 'unsafe-eval' 'sha256-DnpPdT3fUiAk5dgay78q+v3W/A6ccSKg4URdsAI4NvM='


Будет ли это корретно работать? Суммирует ли браузер эти заголовки?

И еще вопрос - как протестироват все на корректную работу?
  • Вопрос задан
  • 119 просмотров
Пригласить эксперта
Ответы на вопрос 1
dimonchik2013
@dimonchik2013
non progredi est regredi
натощак только один пирожок
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы