jekyll content security policy generator

このJekyllプラグインは、Jekyllサイト用のHTMLコンテンツセキュリティポリティを自動的に構築します。プラグインは、Jekyllによって生成された.htmlファイルをスキャンし、画像、スタイル、スクリプト、フレームなどを見つけて、コンテンツセキュリティポリシーHTMLメタタグを作成しようとします。スクリプトは、インラインスクリプトとスタイル用のSHA256ハッシュも生成します。スクリプトがスタイル属性を持つ要素を見つけた場合、 <div style="color: red"></div> 、スクリプトはスタイル情報を抽出し、コンテンツセキュリティポリシーの生成を通過するスタイル要素を構築します。

Jekyllベースのサイトの開発をスピードアップし、XSSから保護されている安全なHTMLファイルの生成を支援します。

• Jekyllによって生成された.htmlファイルのスキャン。
• <script>alert("Hello World!");</script>などのインラインスクリプトを見つけ、SHA256ハッシュを生成します。
• <style>.hello { color: "red"; }</style> sha256ハッシュを生成します。
• コンテンツセキュリティポリシーのHTTPメタタグを作成または再利用します。
• 外部URLを使用して、すべての画像、スタイル、スクリプト、フレームを見つけてCSPを構築します。
• スタイルの属性を<style>要素に変換します。
• ページに既にコンテンツセキュリティポリティタグ（index.htmlファイルなど）がある場合、スクリプトはそれを再利用します。
• https://strongscot.com/images/logo.svgなどの画像URLには、https://strongscot.com/images/などのルールがあります。

• ドメインルールがどのように緩く可能かを指定する機能。たとえば、 https://strongscot.com/images/logo.svg 、 https://strongscot.com/images/ strictおよびhttps://strongscot.comに変換されます。
• site.yamlファイルでは、どのファイルを解析するかを指定する能力、現在.htmlのみです。

jekyll_pluginsグループ内のgemfileをプラグインする：

 group :jekyll_plugins do
  gem 'jekyll-content-security-policy-generator'
  ... other gem files
end

次に、インストールします

 bundle install

何らかの理由で、Nokogiriは、バンドラーを混乱させるアーム（M1）とX86の両方のバリエーションを取り付けます。これを修正するために見つけた最良の方法は、gemfile.lockを開いて削除することでした。

 nokogiri (1.11.3-arm64-darwin)
  racc (~> 1.4)

または、M1 MACがある場合はX86。

または、gemfileにnokogiriを追加することもできます。

 group :jekyll_plugins do
  gem 'nokogiri'
  gem 'jekyll-content-security-policy-generator'
  ... other gem files
end

https://strongscot.com