什么 CSP 更安全 - style-src 'none' 或 style-src 'unsafe-inline'

Question

我正在努力完全理解style-src 'none' 。 根据命名，这听起来像是限制性的，还是意味着没有规则，你可以为所欲为？

对于script-src 'none'相同问题，在不太可能的情况下它的行为不同。

旁注 - 如果您使用库styled-components最好的 CSP 是什么（所有内容都与该库内联注入）？

编辑：

我之前已经阅读过来自 mdn 的none的描述。

'none'
Refers to the empty set; that is, no URLs match. The single quotes are required.

这是什么意思？ 这是否意味着它不会阻止样式/脚本或相反？

Answer 1

'none'的政策来源是最严格的； 这意味着没有主机是有效的。

从我上面引用的链接：

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

让我们考虑一个位于http://example.com/signup.html的页面。 它使用以下策略，禁止来自 cdn.example.com 的样式表以外的所有内容。

 Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports