我正在我的网站上实施内容安全策略。我目前在折叠上方的页面css上有内容,以"请"谷歌见解,并为最终用户创建一个更快加载的网站。谷歌还建议在折叠内容上方的页面css中使用,所以这就是我所做的。
由于内容安全策略禁用css,这意味着如果我添加它,页面将无法正常显示,因此我不确定该怎么办。似乎我有两个选择。
- 忘记添加安全内容策略并保持原样
或
- 添加安全内容策略并将所有css放入外部文件,但这会在谷歌页面洞察中创建"渲染阻止内容"消息,这可能会影响用户点击率和可能的SEO
Surley还有别的办法吗???
谢谢你提前给我的建议。Ezzo
CSP是一个非常强大的工具来保护您的网站,如果不利用它,那将是一种耻辱。将unsafe-inline用于script-src指令确实非常不安全。但是,style-src指令的unsafe-inline被认为是可以的,因为它不能用于XSS。
我不知道你使用的是哪个网站漏洞检查器(人工/工具(,但你可以查看github.com的CSP扫描,发现他们也有style-src: 'unsafe-inline',并且仍然在评分器上获得A-分(迄今为止是同类中最好的(。
使用扫描仪确保您正确构建了CSP,并且没有留下我们的关键元素,如base-uri、object-src等。
如果你发布你现在拥有的网站/CSP,我可以提供进一步的帮助。