Я хочу добавить следующую директиву CSP в APACHE, потому что хочу, чтобы она применялась на каждой странице.
<IfModule mod_headers.c>
<FilesMatch "\.(htm|html|php)$">
Content-Security-Policy: script-src 'strict-dynamic' 'nonce-{random}' 'unsafe-inline' ' https:;
</FilesMatch>
</IfModule>
Я также хотел бы сгенерировать значение {random} непосредственно в APACHE (если возможно).
Можно ли сгенерировать и вставить его прямо в директиву APACHE CSP? Или это плохая идея, я должен сгенерировать и вставить вместо этого на уровне приложения (PHP)?
ПРИМЕЧАНИЕ. Я нашел то, что Создайте одноразовый номер с помощью Apache 2.4 (для заголовка политики безопасности содержимого) выглядело многообещающе, но я не уверен, действительно ли $ _SERVER [UNIQUE_ID] достаточно случайное значение.
Одноразовый номер, который вы установили в заголовке CSP, должен быть таким же, как и в теге скрипта. Вот почему он обычно устанавливается на уровне приложения, где значение сохранения можно использовать в заголовке HTTP и в вашем HTML. Если вы установите его на уровне Apache, как вы будете использовать его в своем приложении?