Google的工程师已经开发并推荐使用严格的CSP:https://csp.withgoogle.com/docs/strict-csp.html
目标是仅允许具有nonce的脚本。他们的CSP中没有style-src指令,因此在我们的应用程序中,我可以加载谷歌字体,外部CSS表等而不用一个随机数。
这似乎是他们的CSP失效,或者我错过了什么?
答案 0 :(得分:0)
我认为正在发生的事情是他们推荐的较新的“严格动态”设置允许自动加载您的一些依赖。
'严格动态'源表达旨在制作内容安全 对于具有高优先级的现有应用程序,部署策略更简单 他们直接加载的脚本的置信度,但很低 对提供合理资源清单的能力充满信心 加载前。
它允许获得访问权限的脚本 页面通过nonce或hashes来引入它们的依赖关系 将它们明确添加到页面的策略中。
参考:https://w3c.github.io/webappsec-csp/#strict-dynamic-usage