우리는 엄격한 콘텐츠 보안 정책 (https://csp.withgoogle.com/docs/strict-csp.html)을 만들기 위해 노력하고 있습니다.이 정책은 리소스가 요청 될 때마다 Apache가 nonce를 작성해야하므로이를 삽입 할 수 있습니다 Nonce를 http 헤더에 추가합니다.Apache 2.4 (콘텐츠 보안 정책 헤더 용)로 nonce 생성
Apache 2.4에서 nonce를 만들려면 어떻게해야합니까?
내가 읽은 CSP 관련 문서는 모두 ""nonce는 서버에서 생성 된 임의의 문자열이며 CSP 헤더에 포함되어 있습니다. "하지만 아무 정보도 찾지 못했습니다. 아파치와 함께하는 방법에 관해서. 당연히 앱 코드를 사용하여이 작업을 수행 할 수 있지만 Apache를 통해 작업하는 것이 더 깨끗한 솔루션처럼 보일 것입니다./모든 단일 페이지가 CSP 헤더를 확보 할 수 있습니다.
Apache에서는 'SetEnv VARIABLE_NAME variable_value'를 사용하여 응용 프로그램 계층에서 사용할 수있는 서버 변수를 정의 할 수 있습니다. 마찬가지로, Nginx의 논스 : https://scotthelme.co.uk/csp-nonce-support-in-nginx/ – KayakinKoder
HTML 구문 분석에 대한 귀하의 요지를 이해한다면 100 % 확신 할 수는 없지만 mod_unique_id가 그렇게 할 수있는 것처럼 보입니다. 속임수? 1.) apache는 mod_unique_id를 통해 임의의 문자열을 생성하고 UNIQUE_ID라는 환경 변수를 생성합니다. 2) 이것을 우리의 CSP 헤더에 삽입합니다 (이 작업을 수행하는 방법은 확실하지 않습니다). 3. 응용 프로그램 코드에서 필요에 따라 nonce를 추가하고, PHP를 통해 $ _SERVER [ 'UNIQUE_ID']이 (가) 이게 안전한 것으로 보입니까? 나는 html을 파싱하고 nonces를 삽입하는 것에 대한 귀하의 요지를 충분히 이해하고 있는지 잘 모르겠습니다.감사합니다 – KayakinKoder
@KayakinKoder 지나치게 복잡해 보입니다. 애플리케이션에서 nonce를 생성하고 헤더에 직접 삽입하는 것이 훨씬 쉬울 것입니다. 웹 서버를 사용할 필요가 없습니다. – duskwuff