1.什么是CSP?
CSP 全称 Content Security Policy ,即内容安全策略,就是为了页面内容安全而制定的一系列防护策略。通过 CSP 所约束的的规责指定可信的内容来源(这里的内容可以指脚本、图片、iframe、font、style等等可能的远程的资源),通过 CSP 协定,减少或消除跨站脚本(XSS)和数据注入攻击,让 WEB 处于一个安全的运行环境中。
2.常用指令说明
3.DataEase v2 通过 nginx 配置CSP
服务器Nginx(在 server {}块中添加如下代码)
add_header Content-Security-Policy "frame-src 'self' https://maxkb.fit2cloud.com/;default-src 'self' ;img-src 'self' data: https://cdn0-templates-dataease-cn.fit2cloud.com;script-src * 'unsafe-eval';worker-src 'self' blob:;style-src 'self' 'unsafe-inline' ; object-src 'self';frame-ancestors 'self' ;font-src 'self' data: blob: http://at.alicdn.com/;";如下图所示:
执行 nginx -s reload 更新配置文件观察 Web 网页加载情况,页面成功加载:
常见问题是配置完页面加载空白,观察控制台会有报错,再根据提示调整相关 CSP 指令,如下图:
