Html 什么样的顾客服务提供商更安全-类型src';无';或样式src';不安全内联';
我正在努力完全理解Html 什么样的顾客服务提供商更安全-类型src';无';或样式src';不安全内联';,html,security,header,styled-components,content-security-policy,Html,Security,Header,Styled Components,Content Security Policy,我正在努力完全理解样式src'none'。从命名来看,这听起来像是限制性的,还是意味着没有规则,你可以随心所欲 对于脚本src'none'来说,在不太可能的情况下,它的行为会有所不同 旁注-如果您使用库样式化组件(所有内容都以内联方式注入此库),那么什么是最好的CSP 编辑: 我之前已经阅读了mdn的none说明 'none' Refers to the empty set; that is, no URLs match. The single quotes are required. 这是什
样式src'none'
。从命名来看,这听起来像是限制性的,还是意味着没有规则,你可以随心所欲
对于脚本src'none'
来说,在不太可能的情况下,它的行为会有所不同
旁注-如果您使用库样式化组件
(所有内容都以内联方式注入此库),那么什么是最好的CSP
编辑:
我之前已经阅读了mdn的none
说明
'none'
Refers to the empty set; that is, no URLs match. The single quotes are required.
这是什么意思?这是否意味着它不会阻止样式/脚本或相反的内容?策略源的
'none'
是最严格的限制;这意味着没有有效的主机
从我上面引用的链接:
让我们考虑一个页面。信息技术 使用以下策略,不允许从 cdn.example.com
Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
如果您还没有去过那里,您的第一站可能是MDN:<代码>样式src适用于CSS,
脚本src
适用于脚本。。和默认src
都适用于这两种情况。“最佳CSP”完全取决于a)您想要完成什么,与b)您选择支持的浏览器、第三方库等所隐含的限制相平衡。@paulsm4我更新了问题,特别提到了mdn。我的问题是,我不认为“无”的描述清楚它的影响是什么。请注意“不安全内联”中的“不安全”一词。这并不是故意的!;-)