![](/img/trans.png)
[英]"style-src 'self' https://maxcdn.bootstrapcdn.com/bootstrap/". Either the 'unsafe-inline' keyword, a hash
[英]What CSP is safer - style-src 'none' or style-src 'unsafe-inline'
我正在努力完全理解style-src 'none'
。 根据命名,这听起来像是限制性的,还是意味着没有规则,你可以为所欲为?
对于script-src 'none'
相同问题,在不太可能的情况下它的行为不同。
旁注 - 如果您使用库styled-components
最好的 CSP 是什么(所有内容都与该库内联注入)?
编辑:
我之前已经阅读过来自 mdn 的none
的描述。
'none'
Refers to the empty set; that is, no URLs match. The single quotes are required.
这是什么意思? 这是否意味着它不会阻止样式/脚本或相反?
'none'
的政策来源是最严格的; 这意味着没有主机是有效的。
从我上面引用的链接:
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
让我们考虑一个位于http://example.com/signup.html的页面。 它使用以下策略,禁止来自 cdn.example.com 的样式表以外的所有内容。
Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.