在 Angular 站点中使用 content-security-policy 的最佳实践是啥?

Posted

技术标签:

【中文标题】在 Angular 站点中使用 content-security-policy 的最佳实践是啥?【英文标题】:What is the best practice to use content-security-policy with an Angular site?在 Angular 站点中使用 content-security-policy 的最佳实践是什么? 【发布时间】:2021-12-30 00:08:05 【问题描述】:

我目前正在尝试使用 IIS 中的安全标头来保护 Angular 网站。 到目前为止,大多数标头都可以正常工作,但我坚持使用 content-security-policy 标头。

我最终使用了 'unsafe-inline' 和 'unsafe-eval' 等值,据我了解这并不理想。

是否有一个默认的严格 CSP 标头可以使用和放宽,直到 Angular 站点不再出现错误或关于如何将其与 Angular 站点一起使用的最佳实践的任何建议?

【问题讨论】:

【参考方案1】:

我发现以下内容安全策略适用于我的 Angular 网站:

connect-src 'self';
default-src 'self';
object-src 'none';
script-src 'self' 'unsafe-eval';
style-src 'self' 'unsafe-inline';
worker-src 'none';
font-src 'self' 'unsafe-inline' data:;
img-src 'self' data:;

【讨论】:

以上是关于在 Angular 站点中使用 content-security-policy 的最佳实践是啥?的主要内容,如果未能解决你的问题,请参考以下文章

Angular 5在多个站点上进行生产构建部署

无法运行 Angular 站点,因为我的 angular.json 文件路径与 ng build 创建的不匹配

Angular PWA 错误站点无法安装:未检测到匹配的服务人员

在页面刷新时使用 Angular JS ui.router html5Mode(true) 配置 Amazon S3 静态站点

Angular 10 PWA 中 Chrome 更新后的新警告“无法安装站点:页面无法脱机工作。从 Chrome 93 开始...”

如何在我的 Windows 桌面上运行 localhost 的移动设备上运行我的 Angular 站点[重复]