无论如何配置内容安全策略以允许任何第三方脚本但不允许 inline/eval

Is there anyway to configure content security policy to allow any third party scripts but disallow inline/eval

是否可以配置内容安全策略以允许任何第三方脚本但不允许 inline/eval?

我有一些必须定期添加和删除的第三方 marketing/analytics 脚本。我想通过用户输入保护页面与内联和 eval 样式的 xss。对于这个用例,我的 CSP 会是什么样子?谢谢

正如您可能知道的那样,您不会在 script-src 指令中设置 'unsafe-inline' 或 'unsafe-eval'。要允许其他所有内容,您可以接受带 * 的任何主机或接受某些方案上的所有内容,例如 https: data: 和 blob:,请参阅 https://www.w3.org/TR/CSP3/#framework-directive-source-list

对于其他 CSP 指令,您必须根据您的用例和第三方代码的要求来决定。