Imagen de datos con CSP

1

Estoy tratando de obtener una imagen que esté dentro de JavaScript para trabajar con nuestro CSP. He leído que usar data: (incluso en img-src ) es un riesgo de XSS, así que estoy tratando de evitar eso.

Como se llama desde un archivo .js, no estoy seguro de cómo hacerlo funcionar correctamente. He intentado usar el valor sha256-base64-value descrito aquí:

enlace

He probado el hash sha256 del valor base64 y el sha256 de la imagen descargada (creado a partir del valor base64). P.ej. dentro de nginx CSP:

  

img-src 'self' fda3f82c94742ce8331f51c2bb0e7f45c7da67e1d8618dc345b77a8dcfc6686e-iVBORw0KGgoAAAANSUhEUgAAABQAAAAeCAYAAAAsEj5rAAAAU0lEQVR42u3VOwoAMAgE0dwfAnNjU26bYkBCFGwfiL9VVWoO + BJ4Gf3gtsEKKoFBNTCoCAYVwaAiGNQGMUHMkjGbgjk2mIONuXo0nC8XnCf1JXgArVIZAQh5TKYAAAAASUVORK5CYII =;

y

  'Auto'

img-src 3c1ed8cea465b0a63ee09ce0a1013be0e482752f91c32fcd59b3cae2627f764f-iVBORw0KGgoAAAANSUhEUgAAABQAAAAeCAYAAAAsEj5rAAAAU0lEQVR42u3VOwoAMAgE0dwfAnNjU26bYkBCFGwfiL9VVWoO + BJ4Gf3gtsEKKoFBNTCoCAYVwaAiGNQGMUHMkjGbgjk2mIONuXo0nC8XnCf1JXgArVIZAQh5TKYAAAAASUVORK5CYII =;

Recibo el siguiente error en la consola de Chrome:

  

Se niega a cargar la imagen 'de datos: image / png; base64, iVBORw0KGgoAAAANSUhEUgAAABQAAAAeCAYAAAAsEj5rAAAAU0lEQVR42u3VOwoAMAgE0dwfAnNjU26bYkBCFGwfiL9VVWoO + BJ4Gf3gtsEKKoFBNTCoCAYVwaAiGNQGMUHMkjGbgjk2mIONuXo0nC8XnCf1JXgArVIZAQh5TKYAAAAASUVORK5CYII =' porque no cumple con la siguiente directiva Política de Seguridad Contenido

¿Cómo puedo hacer que esta imagen de datos funcione de manera segura con un CSP?

    
pregunta vegedezozu 02.10.2018 - 13:25
fuente

0 respuestas

Lea otras preguntas en las etiquetas