スクリプトのContent-Security-Policyハッシュ

_<?php
header("Content-Security-Policy: default-src 'sha256-".base64_encode(hash('sha256', 'console.log("Hello world");', true))."'");
?>
<script>console.log("Hello world");</script>
_

しかし、私はまだChromeで受け取ります：

次のコンテンツセキュリティポリシーディレクティブに違反しているため、インラインスクリプトの実行を拒否しました：「default-src 'sha256-1DCfk1NYWuHM8DgTqlkOta97gzK + oBDDv4s7woGaPIY ='」。インライン実行を有効にするには、「unsafe-inline」キーワード、ハッシュ（「sha256 -...」）、またはナンス（「nonce -...」）のいずれかが必要です。また、「script-src」が明示的に設定されていないため、「default-src」がフォールバックとして使用されていることにも注意してください。

私はこれを1時間以上いじっていましたが、例と一致するハッシュをまだ生成できません。

http://software-security.sans.org/downloads/appsec-2014-files/building-a-content-security-policy-csp-eric-johnson.pdf クレーム<script>alert('Allowed to execute');</script>（元の間隔を決定するのは難しい）は_sha256-MmM3YjgyNzI5MDc5NTA0ZTdiCWViZGExZDkxMDhlZWIw NDIwNzU2YWE5N2E4YWRjNWQ0ZmEyMDUyYjVkNjE0NTk=_のハッシュを持っています

これはあまり意味がありません。最後の部分は_sha256-_で始まっていませんが、少なくとも最初のハッシュは正しい長さです。 alert('Allowed to execute');のハッシュとして_sha256-nbFv/38jW7zf8mQirwFemFjDwp5CwIaorxe4Z3yycn0=_を取得します

http://nmatatal.blogspot.com/2013/09/how-my-script-hash-poc-works.html クレーム：<script>console.log("Hello world");</script>には_script-src 'sha256-y/mJvKQC/3H1UwsYAtTR7Q=='_目を見張るもの、それは短すぎるように見えます。

何が悪いのですか？