SRI-Firebase上的子资源完整性安全功能
- 我想在上实现子资源完整性安全功能Firebase
- 我的推送通知是OneSignal网站的基本设置,由CDN,但现在我正在处理CORS问题
- 尝试通过Access Control Allow Origin将oneSignal CDN列入白名单头,但没有起作用
对此有什么建议吗?非常感谢!
index.html
<!-- OneSignal -->
<script src="https://cdn.onesignal.com/sdks/OneSignalSDK.js" integrity="sha256-t1LT+Y2Mggg3CziqvOSn//47ekhB3IWvczG5g5pZF5I= sha384-vVrIVOhTb6P+4WMvVY4OhcO9b04Pt1kfcrkiTi3q8b/MG7kRwiNSIuhmKBnlKA3W sha512-zI/26urvS8F5oBQj4MChQbf8jVDP06RucbNYHuTguAxo3h8PXgFlM175kxarwnM9y0wTVjGAXe5JWIHsRMK2kw==" crossorigin="anonymous" async></script>
firebase.json
"headers": [
{
"source": "**",
"headers": [
{
"key": "Access-Control-Allow-Origin",
"value": "https://cdn.onesignal.com/"
},
{
"key": "Vary",
"value": "Origin"
}
]
}
]
注意:对于从嵌入资源的文档以外的来源提供的资源的子资源完整性验证,浏览器还使用跨来源资源共享(CORS(检查资源,以确保提供资源的来源允许与请求来源共享资源。子资源_完整性
您是否尝试过将函数设置为public?但不知道这是否真的是你想要的。https://cloud.google.com/functions/docs/securing/managing-access-iam#allowing_unauthenticated_function_invocation