next.js - Nextjs 预加载脚本被严格的 CSP 阻止
问题描述
我正在尝试根据next.js 示例在我的下一个应用程序中设置严格的 CSP。在我的我有以下内容:_document.js
const cspHashOf = (text) => {
const hash = crypto.createHash('sha256')
hash.update(text)
return `'sha256-${hash.digest('base64')}'`
}
let cspStr = ''
for (let k in csp) {
cspStr += `${k} ${csp[k]}; `
}
...
render() {
const nonce = crypto.randomBytes(8).toString('base64')
let csp = {
'object-src': "'none'",
'base-uri': "'self'",
'script-src': `'nonce-${nonce}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http: ${cspHashOf(
NextScript.getInlineScriptSource(this.props)
)}`,
}
let cspStr = ''
for (let k in csp) {
cspStr += `${k} ${csp[k]}; `
}
return (
<Html>
<Head>
<meta httpEquiv="Content-Security-Policy" content={cspStr} />
...
</Head>
<body>
...
<NextScript nonce={nonce} />
</body>
</Html>
)
在呈现的页面中,我有所有这些来自 Next 的预加载块被阻止
<link rel="preload" href="/_next/static/chunks/8be9d4c0d98df170721d8fe575c2a4bcd5b2fbe4.e7c8a9ea6074f4dcaa51.js" as="script">
<link rel="preload" href="/_next/static/chunks/863050a7585a2b3888f2e4b96c75689f1ae4a93d.a73c594ed7ed04a682dc.js" as="script">
<link rel="preload" href="/_next/static/chunks/be8560b560b3990e61cbef828a20e51dc9370d83.4acbf8ef4e1b51b0bc0f.js" as="script">
<link rel="preload" href="/_next/static/chunks/be8560b560b3990e61cbef828a20e51dc9370d83_CSS.6164c81b6ed04bb13dbd.js" as="script">
如何防止它们被阻止?
解决方案
我最终能够通过将nonce
as 作为道具传递给Head
<Head nonce={nonce}>
Next.js 的相关文档不存在!如果有人找到它来分享链接,我会很高兴
推荐阅读
- python-3.x - 如何查找句子是否包含特定单词
- typescript - VS Code - 无法将 .ts 文件与 TypeScript 关联
- vba - 使用 ComboBox 更新 MS Access 表,使用 VBA 生成自动编号
- java - 在 vert.x 上使用事件总线进行编解码器注册
- sql - 清点后如何计算平均值?
- python - 使用 pandas 处理的 live tail csv
- javascript - 如何在 Javascript(或 Flask WebApp)中实现语音“识别”?
- node.js - Heroku PDFTK 抛出模糊的 EPIPE 和 EACCES 错误
- powershell - PowerShell ISE 无法识别 $profile 变量
- apache - 将 gridsome 应用程序部署到 apache 2 服务器