注册
登录
大数据安全
带内容安全策略的reCAPTCHA
返回
带内容安全策略的reCAPTCHA
作者:
不想吃东西
发布时间:
2024-03-22 05:15:27 (2月前)
转自:
<p> <br/> 我正在努力使reCAPTCHA与严格的内容一起工作<br/> <br/> 安全<br/> </跨度><br/> <br/> 政策<br/> </跨度><br/> 。这是我的基本版本,它可以正常工作:</p><p>HTML</p><p>&lt; script src =’//www.google.com/recaptcha/api.js’async defer>&lt; / script&gt;</p><p>HTTP标头</p><p>内容-<br/> <br/> 安全<br/> </跨度><br/> -<br/> <br/> 政策<br/> </跨度><br/> :default-src’self’; script-src’self’www.google.com www.gstatic.com; style-src’self’https:‘unsafe-inline’; frame-src www.google.com<br/> <br/></p>
收藏
举报
4 条回复
0#
回复此人
纾潆锦袖迷子
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> reCAPTCHA服务已更新 <code> style-src 'unsafe-inline' </code> 不再需要了。 HTML和HTTP标题下面应该可以工作 <a href="https://github.com/google/recaptcha/issues/107" rel="nofollow noreferrer"> 这个 </A> 已结束的问题 </p> <P> HTML: </p> <pre> <code> <script src="https://www.google.com/recaptcha/api.js?render=site-key" nonce="{NONCE}"></script> </code> </pre> <P> HTTP标头: </p> <pre> <code> Content-Security-Policy: default-src 'self'; script-src 'nonce-{NONCE}'; img-src www.gstatic.com; frame-src www.google.com; object-src 'none'; base-uri 'none'; </code> </pre> </DIV>
编辑
1#
回复此人
CC-f
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 在AS.Net应用程序的web.config文件中使用以下代码。 </p> <pre> <code> <child-src> <add source="www.google.com"/> </code> </pre> <P> </p> </DIV>
编辑
2#
回复此人
特狼普
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我不相信reCAPTCHA在不允许内联样式的情况下支持CSP。我发现 <a href="https://github.com/google/recaptcha/issues/107" rel="noreferrer"> 这个公开的问题 </A> 在reCAPTCHA Github存储库中。 </p> <P> <a href="https://csp-experiments.appspot.com/recaptcha-nonce-test" rel="noreferrer"> 此示例页面使用CSP进行reCAPTCHA </A> 有效,因为它没有定义 <code> style-src </code> 要么 <code> default-src </code> 。检查页面的DOM会显示这个插入的div: </p> <pre> <code> <div class="g-recaptcha" data-sitekey="6LdOLRgTAAAAAPYECt9KLIL_LLwOuuuHAUw7QUTm"> <div style="width: 304px; height: 78px;"> <div> <iframe src="https://www.google.com/recaptcha/api2/anchor?k=6LdOLRgTAAAAAPYECt9KLIL_LLwOuuuHAUw7QUTm&co=aHR0cHM6Ly9jc3AtZXhwZXJpbWVudHMuYXBwc3BvdC5jb206NDQz&hl=en&v=r20160926121436&size=normal&cb=g72al0v10dxg" title="recaptcha widget" width="304" height="78" role="presentation" frameborder="0" scrolling="no" name="undefined"></iframe> </div> <textarea id="g-recaptcha-response" name="g-recaptcha-response" class="g-recaptcha-response" style="width: 250px; height: 40px; border: 1px solid #c1c1c1; margin: 10px 25px; padding: 0px; resize: none; display: none; "></textarea> </div> </div> </code> </pre> <P> 内联样式 <code> textarea </code> 评估为 <code> MammJ3J+TGIHdHxYsGLjD6DzRU0ZmxXKZ2DvTePAF0o= </code> 由下式决定: </p> <pre> <code> echo -n "width: 250px; height: 40px; border: 1px solid #c1c1c1; margin: 10px 25px; padding: 0px; resize: none; display: none; " | openssl dgst -sha256 -binary | base64 </code> </pre> <P> 这与您的错误消息中指示的哈希相匹配。但是,包括哈希 <code> style-src </code> 不适用于Chrome中的内嵌样式 <a href="https://bugs.chromium.org/p/chromium/issues/detail?id=546106" rel="noreferrer"> 根据这个开放的bug </A> 。看来这将得到支持 <code> unsafe-hashed-attributes </code> 据我所知,还没有进入Chrome版本。 </p> <P> 对于它的价值,添加哈希使其在Firefox中可用。 </p> </DIV>
编辑
登录
后才能参与评论
