angular - 使用严格的 Content-Security-Policy (CSP) Angular - 不要使用 unsafe-inline
问题描述
我尝试创建一个 Angular 单页应用程序,并希望使用限制性内容安全策略(出于安全原因)。我面临的问题是,我必须允许对内联样式进行不安全的评估:
Content-Security-Policy:
default-src 'self';
script-src 'self' fonts.googleapis.com;
style-src 'self' 'unsafe-inline' fonts.googleapis.com blob:;
img-src 'self' data:;font-src 'self' fonts.gstatic.com;
connect-src 'self'; block-all-mixed-content
我搜索了互联网和堆栈溢出,但找不到摆脱这种情况的方法。我不使用 webpack - 因此我无法尝试 nonce 方法。有没有办法使用 nonce 或任何其他方式来避免使用 unsafe-inline?
非常感谢您的帮助。
解决方案
推荐阅读
- php - 通过 ACF 将图像馈送到 Twig / Timber WordPress
- javascript - JavaScript:覆盖 get 和 set 但保留本机功能
- r - 针对同一变量的 2 路列联表
- terraform - 有没有办法导出所有 Datadog 监视器、警报和仪表板?
- html - 如果字段值为空,则显示破折号
- android - 在 Framelayout 内,我有 1 个卡片视图和一个图像视图。我想要卡片视图上的图像视图。我想做的事
- vue.js - v-data-table 中带有自定义组件和帮助器的动态项目模板槽
- ruby-on-rails - Rails 6 路由经过身份验证和未经身份验证的用户
- java - Spring Boot 框架中的过滤器
- java - 如何从它离开的地方开始计时?