我正在向Nginx配置文件添加一个Content-Security-Policy标头。
看起来
add_header Content-Security-Policy "script-src data: https://www.xstatic.com;"
哪个工作正常。
但是,由于该站点只需要访问media目录中的文件,因此我想限制对https://www.xstatic.com/media的访问,但是我找不到解决方法。
我已经尝试过data: https://www.xstatic.com/media和data: https://www.xstatic.com/media/*.js,但它们似乎都不起作用。
有什么建议吗?