Могу ли я применить контент-безопасную политику для сценариев только из наших доменов? ⇐ Javascript

[Anonymous]

Мы запускаем тестовые HTML-страницы в next.js и имеем следующий набор. reactStrictMode: true,
async headers() {
return [
{
source: '/(.*)',
headers: [
{
key: 'Content-Security-Policy-Report-Only',
value: "require-trusted-types-for 'script';",
},
],
},
];
},
};
< /code>
, который, по -видимому, применяет правила CSP к любому файлу на тестовой странице, независимо от того, откуда он взялся. Весь смысл тестовой страницы состоит в том, чтобы проверить наш собственный код, чтобы убедиться, что мы соответствуют CSP, но на некоторых тестовых страницах мы включаем файлы JS с внешних сайтов (например, JWPlayer, jQuery), и если они не соответствуют CSP, мы хотим, чтобы их игнорировали с точки зрения необходимости соответствовать правилам - они должны получить бесплатный проход. Мы видим, что внешние сценарии плохо себя ведем. Они не в состоянии успешно выполнить свою работу. < /P>
Есть ли некоторые изменения синтаксиса в этой конфигурации выше, что заставит его применить CSP только к, например:
«экзам. соблюдать.

Подробнее здесь: https://stackoverflow.com/questions/795 ... ur-domains