跳转到内容
Tauri

内容安全策略 (CSP)

动荡限制你的HTML页面的内容安全策略(CSP)。这可以用来减少或防止诸如跨站脚本(XSS)等常见基于Web的漏洞的影响。

本地脚本被散列,样式和外链使用加密nonce引用,这可以防止加载未允许的内容。

CSP保护仅在Tauri配置文件上设置时启用。您应将其限制得尽可能严格,仅允许webview从您信任的主机加载资源,最好是自己拥有的主机。在编译时,动荡自动将其nonce和hash附加到相关CSP属性,为捆绑代码和资源,您只需要担心您应用程序的独特之处。

这是从动荡api 示例中取出的一个示例CSP配置,但每个应用开发者都需要根据其应用需求进行调整。

动荡 примеры/api/src-tauri/tauri.conf.json
"csp": {
"default-src": "'self' customprotocol: asset:",
"connect-src": "ipc: http://ipc.localhost",
"font-src": ["https://fonts.gstatic.com"],
"img-src": "'self' asset: http://asset.localhost blob: data:",
"style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com"
},

有关此保护的更多信息,请参阅script-srcstyle-srcCSP Sources


© 2025 Tauri 贡献者。CC-BY / MIT