如何解决带有 React 内联块的安全 CSP
我希望对我的 React 前端进行尽可能安全的设置。目前,我在部署中从 server.js 文件夹中运行 /build,因此它处于已编译的生产状态。
但是,如果 js 是捆绑和内联的,我不能使用以下 CSP,这是相当严格的:
<Meta http-equiv="Content-Security-Policy" content=
"default-src 'none';
object-src 'self';
script-src 'self';
worker-src 'self';
connect-src 'self';
img-src 'self' data:;
style-src 'self';
font-src 'self';
manifest-src 'self';">
我也有
Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self'".
因为像 Draggable 这样的一些 node_modules 似乎动态内联样式。
对我来说,有什么方法可以使我的代码保持相当模糊以阻止攻击者以及强大的 CSP?我听说 webpack 插件可能会有所帮助,但我真的不明白它在构建管道中是如何工作的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
