如何禁用内容安全策略并保持安全?

how to disable Content Security Policy and stay secure?

我想禁用 CSP - app.use(helmet.contentSecurityPolicy()) 因为它会阻止任何内联脚本。 hashnonce 解决方案 (https://content-security-policy.com/examples/allow-inline-script/) 对我的应用来说太过分了。 xss-clean package 或其他解决方案是否足以获得常规中等安全性?

谢谢:)

您可以完全控制使用您提到的 helmet 中间件。

reference docs 很清楚如何设置您的 CSP。

设置后,您始终可以使用 this one.

等验证器评估您的 CSP 的强度

来自文档:

If no directives are supplied, the following policy is set (whitespace added for readability):

default-src 'self';
base-uri 'self';
block-all-mixed-content;
font-src 'self' https: data:;
frame-ancestors 'self';
img-src 'self' data:;
object-src 'none';
script-src 'self';
script-src-attr 'none';
style-src 'self' https: 'unsafe-inline';
upgrade-insecure-requests

您可以按照文档中的说明在加载“头盔”时设置策略。

例如,这里是一个示例配置:

// Sets "Content-Security-Policy: default-src 'self';script-src 'self' example.com;object-src 'none';upgrade-insecure-requests"
app.use(
  helmet.contentSecurityPolicy({
    directives: {
      defaultSrc: ["'self'"],
      scriptSrc: ["'self'", "example.com"],
      objectSrc: ["'none'"],
      upgradeInsecureRequests: [],
    },
  })
);