css - 添加内容安全策略与折叠css
问题描述
我正在我的网站上实施内容安全策略。我目前有用于首屏内容的页面 css,以“取悦”谷歌见解并为最终用户创建一个更快的加载网站。谷歌还推荐首屏内容的页面 css,这就是我所做的。
由于内容安全策略禁用 css,这意味着如果我添加它,页面将无法正确显示,所以我不确定该怎么做。看来我有两个选择。
- 完全忘记添加安全内容策略并保持原样。
或者
- 添加安全内容策略并将所有 css 放入外部文件,但这会在 Google 页面洞察中创建“渲染阻止内容”消息,这可能会影响用户点击率和可能的 SEO。
萨利还有别的办法???
提前感谢您的所有建议。埃佐
解决方案
CSP 是一个非常强大的工具来保护您的网站,如果不利用它会很可惜。使用unsafe-inlineforscript-src指令确实很不安全。但是,unsafe-inline因为该style-src指令被认为是可以的,因为它不能用于 XSS。
我不知道您使用的是哪个网站漏洞检查器(人工/工具),但您可以查看github.com 的 CSP 扫描,发现他们也有style-src: 'unsafe-inline',并且仍然在评分器上得分 A-(最好-到目前为止在课堂上)。
使用扫描仪确保您正确构建 CSP,并且不会留下我们的关键元素,如base-uri、object-src等。
如果您发布您现在拥有的网站/CSP,我可以提供进一步的帮助。
推荐阅读
- r - 在 R 中需要简单的 UI 代码
- c++ - 处理模板函数包装器中的 void 返回
- pdf - android studio 3.1.3 中 pdf 视图的确切版本库是什么?实施 'com.android.support:appcompat-v7:28.0.0-beta01'
- java - 如何使用多线程向队列添加唯一值?
- jquery - 未捕获的 TypeError:Object.defineProperty 在 Heroku 上的非对象上调用
- java - JOGL 空白屏幕
- count - 计算合并的观测值并计算分数
- c# - 在调用 DbContext.SaveChanges() 时立即接收保存的项目
- docker - 挂载错误(13):权限被拒绝 - 在 docker/kubernetes
- python - 如何在python中将数据模拟为request.Response类型