我想为我的 Angular 应用程序提供内容安全性,但是如果我编写以下内容安全性:
<meta http-equiv="Content-Security-Policy"
content="
default-src 'none';
img-src 'self';
font-src 'self';
connect-src 'self';
script-src 'self';
style-src 'self';
trusted-types angular angular#unsafe-bypass;
object-src 'none'">
但是使用 style-src 'self';我创建的组件有很多错误。 我做了一些研究,发现问题 https://github.com/angular/angular/issues/6361
这意味着唯一的解决方案是使用?还是误会了什么?
<块引用> style-src 'self' 'unsafe-inline';
答案 0 :(得分:0)
我已经配置我的 CSP 几天了,似乎 Angular 需要 unsafe-inline 并且在短期内不太可能改变。
这个角度问题说说吧。 https://github.com/angular/angular-cli/issues/3430 https://github.com/angular/angular-cli/issues/12378