как я могу передать значение nonce из weblogic в Akamai и объединить CSP в один

Я нахожусь в процессе внедрения CSP для своего веб-сайта.

Я сгенерировал хеш-значения для наших статических скриптов, и Akamai вставил их в заголовок ответа. У меня проблема с динамически созданным кодом javascript. Если я хочу использовать одноразовое значение, как я могу передать это одноразовое значение в Akamai, чтобы оно было добавлено к заголовку csp?

если я отправлю второй CSP-заголовок script-src, во внимание будет принят только самый ограничительный, а это, очевидно, не сработает.


response-headers weblogic akamai
person user2145893    schedule 06.08.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете извлечь одноразовый номер на границе из заголовков, предоставленных вашим источником, и добавить его к исходящему заголовку csp, который вы уже создаете на границе. Безопасность может быть слабой, если ваши страницы кэшируются.

Кроме того, ваш источник может поместить заполнитель вместо одноразового номера, а затем заменить его на краю, создав здесь ваш одноразовый номер. Вы должны быть осторожны со значением заполнителя, чтобы убедиться, что его нельзя использовать против вас.

person Guillaume    schedule 27.02.2020