Immagine dati con CSP

1

Sto cercando di ottenere un'immagine che rientri in JavaScript per funzionare con il nostro CSP. Ho leggi che usare data: (anche in img-src ) è un rischio XSS quindi sto cercando di evitarlo.

Poiché è chiamato all'interno di un file .js, non sono sicuro di come farlo funzionare correttamente. Ho provato a utilizzare il valore sha256-base64-value delineato qui:

link

Ho provato l'hash sha256 del valore base64 e lo sha256 dell'immagine scaricata (creata dal valore base64). Per esempio. all'interno di CSP nginx:

img-src 'self' fda3f82c94742ce8331f51c2bb0e7f45c7da67e1d8618dc345b77a8dcfc6686e-iVBORw0KGgoAAAANSUhEUgAAABQAAAAeCAYAAAAsEj5rAAAAU0lEQVR42u3VOwoAMAgE0dwfAnNjU26bYkBCFGwfiL9VVWoO+BJ4Gf3gtsEKKoFBNTCoCAYVwaAiGNQGMUHMkjGbgjk2mIONuXo0nC8XnCf1JXgArVIZAQh5TKYAAAAASUVORK5CYII=;

e

img-src 'self' 3c1ed8cea465b0a63ee09ce0a1013be0e482752f91c32fcd59b3cae2627f764f-iVBORw0KGgoAAAANSUhEUgAAABQAAAAeCAYAAAAsEj5rAAAAU0lEQVR42u3VOwoAMAgE0dwfAnNjU26bYkBCFGwfiL9VVWoO+BJ4Gf3gtsEKKoFBNTCoCAYVwaAiGNQGMUHMkjGbgjk2mIONuXo0nC8XnCf1JXgArVIZAQh5TKYAAAAASUVORK5CYII=;

Ho ricevuto il seguente errore nella console di Chrome:

Refused to load the image 'data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABQAAAAeCAYAAAAsEj5rAAAAU0lEQVR42u3VOwoAMAgE0dwfAnNjU26bYkBCFGwfiL9VVWoO+BJ4Gf3gtsEKKoFBNTCoCAYVwaAiGNQGMUHMkjGbgjk2mIONuXo0nC8XnCf1JXgArVIZAQh5TKYAAAAASUVORK5CYII=' because it violates the following Content Security Policy directive

Come posso ottenere un'immagine di dati che funzioni con un CSP in modo sicuro?

    
posta vegedezozu 02.10.2018 - 13:25
fonte

0 risposte

Leggi altre domande sui tag