我想禁用 CSP -app.use(helmet.contentSecurityPolicy())因为它会阻止任何内联脚本。哈希和随机数解决方案(https://content-security-policy.com/examples/allow-inline-script/ )对我的应用来说太过分了。xss-clean软件包或其他解决方案是否足以获得常规适度的安全性?
谢谢 :)
问问题
2912 次
1 回答
1
helmet您可以使用您提到的中间件完全控制。
参考文档清楚地说明了如何设置您的 CSP。
设置后,您始终可以使用验证器(例如这个)评估您的 CSP 的强度。
从文档:
如果未提供任何指令,则设置以下策略(添加空格以提高可读性):
default-src 'self';
base-uri 'self';
block-all-mixed-content;
font-src 'self' https: data:;
frame-ancestors 'self';
img-src 'self' data:;
object-src 'none';
script-src 'self';
script-src-attr 'none';
style-src 'self' https: 'unsafe-inline';
upgrade-insecure-requests
您可以按照文档中的说明在加载“helmet”时设置策略。
例如,这是一个示例配置:
// Sets "Content-Security-Policy: default-src 'self';script-src 'self' example.com;object-src 'none';upgrade-insecure-requests"
app.use(
helmet.contentSecurityPolicy({
directives: {
defaultSrc: ["'self'"],
scriptSrc: ["'self'", "example.com"],
objectSrc: ["'none'"],
upgradeInsecureRequests: [],
},
})
);
于 2020-10-26T20:48:12.433 回答