He estado intentando mover mi sitio a un CSP de origen hash en lugar de un CSP de origen del host para verificar la integridad de los archivos distribuidos por un CDN.
Tengo un WebWorker ejecutándose en segundo plano, que importa algunos scripts desde un CDN a través de la función importScripts (). Cuando especifico el hash de la secuencia de comandos, por ejemplo, para jQuery, script-src: 'sha384-tsQFqpEReu7ZLhBV2VZlAu7zcOV+rXbYlF2cqB8txI/8aZajjp4Bqd+V6D5IgvKT' , obtengo un error de violación de CSP. Sin embargo, cuando incluyo el script a través de etiquetas HTML, todo está bien, por lo que el hash es correcto.
Lo que hace que esto sea aún más extraño es que cuando agrego un CSP de origen de host, por ejemplo, script-src: https://cdnjs.cloudflare.com , no aparecen errores y la secuencia de comandos de WebWorker funciona bien.
¿Cómo puedo hacer que el CSP de origen hash funcione con WebWorkers, o al menos verificar la integridad de los archivos importados con la API de WebWorker?