我正在努力完全理解style-src 'none'。根据命名,听起来会受到限制,还是意味着没有规则,您可以为所欲为?
在不太可能的情况下,script-src 'none'同样的问题,它的行为不同。
旁注 - 如果您使用的是库styled-components,最好的 CSP 是什么(所有内容都与此库内联注入(?
编辑:
我之前已经阅读了 mdn 对none的描述。
'none'
Refers to the empty set; that is, no URLs match. The single quotes are required.
这是什么意思?这是否意味着它不会阻止样式/脚本或相反?
'none'的策略源是最严格的;这意味着没有主机是有效的。
从我上面引用的链接:
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
让我们考虑一个位于 http://example.com/signup.html 的页面。它 使用以下策略,禁止除样式表之外的所有内容 cdn.example.com。
Content-Security-Policy: default-src 'none'; style-src cdn.example.com; report-uri /_/csp-reports