Я разрабатываю угловое приложение для одностраничного (SPA) и стремлюсь обеспечить строгие политики безопасности
(CSP) для повышения безопасности. Тем не менее, я столкнулся с проблемой, в которой необходимо разрешить небезопасное для размещения встроенных стилей, которые противоречат моим целям безопасности. Вот моя текущая конфигурация CSP: < /p>
Код: Выделить всё
Content-Security-Policy:
default-src 'self';
script-src 'self' fonts.googleapis.com;
style-src 'self' 'unsafe-inline' fonts.googleapis.com blob:;
img-src 'self' data:;
font-src 'self' fonts.gstatic.com;
connect-src 'self';
block-all-mixed-content;
После исследования онлайн и просмотра переполнения стека я не нашел жизнеспособное решение для устранения необходимости небезопасного . Я не могу реализовать подход Nonce , часто рекомендованный для обхода этого. Спасибо!
Подробнее здесь:
https://stackoverflow.com/questions/794 ... figuration
Мобильная версия