Правила CSP заголовка Firebase

Question

Правила CSP заголовка Firebase

Так что я знаю, что могу добавить CSP в <meta> на моем сайте. Тем не менее, я прочитал, что лучше добавить их в свой заголовок HTTP. Я проверил в документации Firebase и вижу следующее:

В настоящее время мы поддерживаем следующие заголовки в качестве ключа: ...Content-Security-Policy.

Тем не менее, я не могу найти пример того, как отформатировать правила в файле. Я мог бы обдумать это, но как мне добавить правила к моим заголовкам Firebase, которые бы охватывали это:

Refused to load the script 'data:application/javascript;base64,dmFyIHVyY2hpblRyYWNrZXI9ZnVuY3Rpb24oKXt9…RUcmFja2VyQnlOYW1lOiBmdW5jdGlvbigpe190cmFja0V2ZW50OiBmdW5jdGlvbigpe319fTs=' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' https://f.vimeocdn.com https://ssl.google-analytics.com https://js-agent.newrelic.com https://bam.nr-data.net https://f.vimeocdn.com".

11

firebase content-security-policy firebase-hosting

Источник

user3713238 21 мар '17 в 17:26

1 ответ

Решение

Другие вопросы по тегам firebase content-security-policy firebase-hosting

user226391 21 мар '17 в 19:13 2017-03-21 19:13 · Accepted Answer · 2017-03-21 19:13

Firebase Hosting не обеспечивает форматирование ваших заголовков, поэтому, чтобы получить точные результаты, которые вы хотите, вам просто нужно выяснить, как форматировать заголовок. Это руководство выглядит довольно полным и может помочь вам начать работу.

Чтобы на самом деле применить заголовки CSP к вашему сайту хостинга Firebase, вам нужно изменить firebase.json, Например:

{
  "hosting": {
    "headers": [{
      "source":"**",
      "headers": [
        {"key":"Content-Security-Policy","value":"script-src 'self'"}
      ]
    }]
  }
}

См. Документацию Firebase Hosting для более подробной информации.