UI5 中的内容安全策略 (CSP) 实现
Content-Security-Policy (CSP) implementation in UI5
在 UI5 应用程序中实现 Content-Security-Policy (CSP) 时,在 HTML-bootstrapper (index.html ):
<meta content = "default-src https: 'self' https://….com 'unsafe-eval' 'unsafe-inline'; child-src 'none'; object-src 'none';"
http-equiv = "Content-Security-Policy" />
或者是否也必须确保每个服务器响应都包含 CSP-header?
或第一个或第二个
Content-Security-Policy HTTP 响应 header 是 preferred 将策略从服务器传送到客户端的机制。
HTML meta element 具有 http-equiv 属性 Content-Security-Policy 有一些 限制 - 并非所有指令都受支持在那里,meta 始终在 强制模式 下工作(没有 Report-Only 功能)。
* 强烈建议在文档中尽可能早地放置元元素,因为元元素中的策略不适用于它们之前的内容。特别要注意的是,使用 Link HTTP 响应 header 字段获取或预取的资源,以及使用 link 和 meta-delivered 策略之前的脚本元素获取或预取的资源不会被屏蔽了。
如果您同时使用 - header 和 meta,如果不同,它们将 affect 彼此。
在 UI5 应用程序中实现 Content-Security-Policy (CSP) 时,在 HTML-bootstrapper (index.html ):
<meta content = "default-src https: 'self' https://….com 'unsafe-eval' 'unsafe-inline'; child-src 'none'; object-src 'none';"
http-equiv = "Content-Security-Policy" />
或者是否也必须确保每个服务器响应都包含 CSP-header?
或第一个或第二个
Content-Security-Policy HTTP 响应 header 是 preferred 将策略从服务器传送到客户端的机制。
HTML meta element 具有
http-equiv属性Content-Security-Policy有一些 限制 - 并非所有指令都受支持在那里,meta 始终在 强制模式 下工作(没有Report-Only功能)。
*强烈建议在文档中尽可能早地放置元元素,因为元元素中的策略不适用于它们之前的内容。特别要注意的是,使用 Link HTTP 响应 header 字段获取或预取的资源,以及使用 link 和 meta-delivered 策略之前的脚本元素获取或预取的资源不会被屏蔽了。
如果您同时使用 - header 和 meta,如果不同,它们将 affect 彼此。