我正在尝试按照代码推送文档部署我的应用程序.然后我将以下内容安全性添加到我的应用程序index.html
<meta http-equiv="Content-Security-Policy" content="default-src https://codepush.azurewebsites.net 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
我立即添加,我的应用程序不再运行.当我运行我的cordova浏览器.我在控制台中看到很多错误.事实证明我的样式文件是从github引用的,我的图像是从mysite.com/...引用的,而我的其他外部脚本,goopleapis是我的安全策略.
<meta http-equiv="Content-Security-Policy" content="default-src * 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
它现在工作正常.我的问题是,什么是安全衍生物?我应该这样离开吗?我该怎么做才能做得更好?任何帮助或意见将不胜感激.我担心离开*可能允许意图停止的攻击.