content-security-policy - CSP connect-src 网络源
问题描述
我们正在尝试在我们的应用程序中实现 CSP。但是我们被以下情况困住了:
我们正在使用 Epson EPOS SDK 脚本,它连接到我们用户打印机的本地 IP。每个用户的 IP 都是不同的(当然),我们不能connect-src在行中添加所有主机。
我试图生成特定代码的哈希,但我无法获得该代码。SDK(加载为“epos.js”)正在向打印机发送带有命令的 POST。当我在 PostMan 中发送该命令时,我只从打印机而不是脚本得到响应 (XML)。
现在我正在寻找将 CSP 与此 SDK 结合使用的其他方法。当然,我可以添加一个 * as,connect-src但这与不使用 CSP 相同。有没有办法接受到本地 IP 地址的连接?还是有更好的方法来实现这一点?
解决方案
该connect-src指令不支持哈希源,它是无处可去的。
CSP 级别 3不允许使用 IPv4address(127.0.0.1 除外)作为主机源,尽管浏览器支持它们(Chrome 和 Firefox 已经过测试)。因此,在生产中使用此功能是不正确的。
唯一的方法是connect-src *;,我没有看到任何解决方法。
推荐阅读
- c++ - 对于相同的精确计算,无法解释的不同 omp_get_wtime()
- java - FragmentManager 清理 .addToBackStack
- c# - 向 AAD OpenIDConnect 认证用户添加自定义声明
- c# - 复杂的 LINQ to XML 查询帮助
- python - LogEntry 是做什么的?
- typescript - 使用 observables 返回 http 响应的最佳模式
- angular - Karma 测试随机重启并在 Edge 中“加倍”iframe
- arrays - 从向量中心获取 x 个元素
- google-sheets - 根据数量重复一行
- emacs - 有没有办法使用 projectile 来指定 cmake 项目的编译目录?