小编Sam*_*gan的帖子

我目前正在为使用 Next.js 制作的生产应用程序制定内容安全策略 (CSP)。虽然我找到了使用该框架实施 CSP 的可靠文档，但我想确保正确解决一些问题。

问题#1：我了解到在 HTTP 标头中设置的安全策略更可取。但是，我找不到使用这种方法在生产中传递内联样式的“nonce”属性的方法。https://nextjs.org/docs/advanced-features/security-headers

问题#2：我见过其他示例，其中开发人员将其 CSP 注入自定义文档（“./pages/_document.js”）。我对使用这种方法犹豫不决，因为我听说元标签 CSP 很容易被绕过。https://github.com/vercel/next.js/tree/canary/examples/with-strict-csp

我的问题：

1. 有没有办法在“next.config.js”中使用带有标头配置的“nonce”？如果是这样，怎么办？
2. 如果 Next.js 自动清理用户输入，那么在生产中为样式指定“unsafe-inline”是否会构成安全问题？我还应该提到，我还清理了 API 中的所有 mongo 数据库查询。
3. 问题 #2 中描述的元标记方法是否与 HTTP 标头方法一样安全？
4. 您建议我采取什么方法来使我的 CSP 对于我的 Web 应用程序尽可能强大？

祝一切顺利，-萨姆

我最近为软件工程训练营部署了 Next.js 应用程序。我使用 Vercel 来托管 Web 应用程序。我遇到的问题之前已经在互联网上讨论过。但是，我找不到太多有用的信息。

当我从 Vercel 仪表板查看应用程序的实时日志时，我创建的多个 API 路由会引发 504 错误。我知道 Vercel 根据某人订阅的托管计划对请求施加限制。然而，我忍不住想知道我在部署应用程序时是否忽略了一个重要步骤。

部署我的应用程序时，我做了以下事情：

1. 将会话存储连接到我的 MongoDB 数据库。
2. 创建受密码保护的 MongoDB Atlas 帐户（凭据是环境变量）。
3. 将所有 IP 地址列入白名单，以便任何用户都可以与其数据库部分进行交互。

我希望能帮助您查明这些错误是否是我的错，以及我是否可以对此做些什么，或者它们是否仅仅是由“爱好”计划的限制引起的。

预先非常感谢你，-Sam

截屏：