更多内容安全 0.2.0

用法

为了使用默认内容安全策略保护所有视图

from morepath import App
from more.content_security import ContentSecurityApp
from more.content_security import ContentSecurityPolicy
from more.content_security import SELF

class MyApp(App, ContentSecurityApp):
    pass

@MyApp.setting('content_security_policy', 'default')
def default_policy():
    return ContentSecurityPolicy(
        default_src={SELF},
        script_src={SELF, 'https://analytics.example.org'}
    )

为了扩展模型默认视图的默认策略

@MyApp.view(model=Document)
def view_document(self, request):

    # the actual default policy is not modified here!
    request.content_security_policy.script_src.add('https://cdnjs.com')

    ....

我们还可以使用完全不同的策略

@MyApp.view(model=Document)
def view_document(self, request):
    request.content_security_policy = ContentSecurityPolicy()

此外，我们可以在内联脚本/样式中使用nonce。这些将自动添加到“script-src”，“style-src”指令

@MyApp.html(model=Document)
def view_document(self, request):
    return """
        <html>
            ...

            <script nonce="{}">...</script>
        </html>
    """.format(request.content_security_policy_nonce('script'))

注意我们使用自定义请求类用于nonce。如果您有自己的，您需要如下扩展它

from morepath.request import Request
from more.content_security import ContentSecurityRequest

class CustomRequest(Request, ContentSecurityRequest):
    pass

class MyApp(App, ContentSecurityApp):
    request_class = CustomRequest

要仅使用“Content-Security-Policy-Report-Only”头，请使用此

@MyApp.setting('content_security_policy', 'default')
def default_policy():
    return ContentSecurityPolicy(
        report_only=True,
        default_src={SELF}
    )

运行测试

安装tox并运行它

pip install tox
tox

限制测试到特定的Python版本

tox -e py27

约定

more.content_security尽可能遵循PEP8。要测试它，请运行

tox -e pep8

more.content_security使用语义版本控制

构建状态

覆盖率

最新PyPI发布

许可证

more.content_security是在修订的BSD许可证下发布的

变更日志