現在、LinkedIn共有ボタンを<script type="IN/Share"></script>タグ付きで自分のサイトに追加しようとしています。しかし、私は非常に強力なコンテンツセキュリティポリシーを持っていて、それはとscript-srcの両方にunsafe-inlineが必要であるように見えます。これは明らかに、私はその時点でCSPを持っていない可能性があります。LinkedIn共有のコンテンツセキュリティポリシー
これを有効にせずに共有ボタンを正しく表示する方法を知っている人はいますか?
nonceまたはshaハッシュを使用する必要があります。
script-src: 'sha-35443567457455424532765'
Google Chromeの:それはちょうどLinkedInのプラグインだと(私はそれがだろう願っていますように)コードがすべてのページで同じである場合は、あなただけの、SHAハッシュは、既存のディレクティブに含まれているようなものが必要開発ツールでshaハッシュを生成します。ロードする必要があるリソースを提供する文字列をコピーし、新しいCSPを再ロードして動作するかどうかを確認するだけです。複数のページをテストして、すべてのケースをカバーするようにします。
大量のインラインスタイル/スクリプトを追加するコードがある場合、shaを使用すると面倒なことがありますが、このような単一のウィジェットの場合は、1/2,3だけかかります。正確なshaハッシュは、Linkedinのコードが変更されたときに変更されます(ボタンを作成するときに変数に依存することさえあります)。正確なハッシュは含まれていません。