是否有将内容安全策略配置为允许任何第三方脚本但不允许内联/eval
是否有将内容安全策略配置为允许任何第三方脚本但不允许内联/eval
提问于 2022-02-13 14:52:46
是否有将内容安全策略配置为允许任何第三方脚本但不允许内联/eval?
我有一些第三方营销/分析脚本,必须定期添加和删除。我想通过用户输入来保护页面vs内联和eval样式的xss。我的CSP看起来会是什么样子呢?谢谢。
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-02-14 13:09:13
正如您可能知道的那样,您不会在script-src指令中设置“不安全-内联”或“不安全-eval”。要允许其他所有内容,您可以接受带有*的任何主机,也可以接受某些方案上的所有内容,如https: data:和blob:,请参阅https://www.w3.org/TR/CSP3/#framework-directive-source-list
对于其他CSP指令,您必须根据您的用例和第三方代码的需求来决定。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/71101814
复制相关文章
相似问题
腾讯云开发者
