我正在努力充分理解style-src 'none'。根据命名,这听起来像是限制性的,或者这意味着没有规则,您可以做任何您想做的事情?
对于script-src 'none'在不太可能的情况下其行为有所不同的相同问题。
旁注-如果您使用的是库,最好的CSP是什么styled-components(所有内容都作为该库的内联注入)?
编辑:
我已经阅读过none来自mdn的描述。
'none'
Refers to the empty set; that is, no URLs match. The single quotes are required.
这是什么意思?这是否意味着它不会阻止样式/脚本或相反?
MOST的政策来源'none'是限制性的;这意味着没有主机有效。
从上面我引用的链接:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
让我们考虑一个位于http://example.com/signup.html的页面。它使用以下策略,除cdn.example.com的样式表外,均不接受任何内容。
Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句