内容安全策略 (CSP)
动荡限制你的HTML页面的内容安全策略(CSP)。这可以用来减少或防止诸如跨站脚本(XSS)等常见基于Web的漏洞的影响。
本地脚本被散列,样式和外链使用加密nonce引用,这可以防止加载未允许的内容。
CSP保护仅在Tauri配置文件上设置时启用。您应将其限制得尽可能严格,仅允许webview从您信任的主机加载资源,最好是自己拥有的主机。在编译时,动荡自动将其nonce和hash附加到相关CSP属性,为捆绑代码和资源,您只需要担心您应用程序的独特之处。
这是从动荡api
示例中取出的一个示例CSP配置,但每个应用开发者都需要根据其应用需求进行调整。
"csp": { "default-src": "'self' customprotocol: asset:", "connect-src": "ipc: http://ipc.localhost", "font-src": ["https://fonts.gstatic.com"], "img-src": "'self' asset: http://asset.localhost blob: data:", "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com" },
有关此保护的更多信息,请参阅script-src
、style-src
和 CSP Sources。
© 2025 Tauri 贡献者。CC-BY / MIT