在 Angular 网站上使用 content-security-policy 的最佳做法是什么?
What is the best practice to use content-security-policy with an Angular site?
我目前正尝试在 IIS 中使用安全性 header 保护 Angular 网站。
到目前为止,大多数 header 工作没有任何错误,但我坚持使用 content-security-policy header.
我最终使用了 'unsafe-inline' 和 'unsafe-eval' 等值,据我所知这并不是很理想。
是否有默认的严格 CSP header 可以使用和放宽,直到 angular 网站不再出现错误或 best-practice 上关于如何使用它的任何建议angular 网站?
我发现以下内容安全策略适用于我的 angular 站点:
connect-src 'self';
default-src 'self';
object-src 'none';
script-src 'self' 'unsafe-eval';
style-src 'self' 'unsafe-inline';
worker-src 'none';
font-src 'self' 'unsafe-inline' data:;
img-src 'self' data:;
我目前正尝试在 IIS 中使用安全性 header 保护 Angular 网站。 到目前为止,大多数 header 工作没有任何错误,但我坚持使用 content-security-policy header.
我最终使用了 'unsafe-inline' 和 'unsafe-eval' 等值,据我所知这并不是很理想。
是否有默认的严格 CSP header 可以使用和放宽,直到 angular 网站不再出现错误或 best-practice 上关于如何使用它的任何建议angular 网站?
我发现以下内容安全策略适用于我的 angular 站点:
connect-src 'self';
default-src 'self';
object-src 'none';
script-src 'self' 'unsafe-eval';
style-src 'self' 'unsafe-inline';
worker-src 'none';
font-src 'self' 'unsafe-inline' data:;
img-src 'self' data:;