我想为 Exchange 2016 的 /owa 和 /ecp 添加 Content-Security-Policy 标头。
众所周知,“过于严格”的 Content-Security-Policy 标头会破坏 /owa 和 /ecp,是否存在已知的适用于 Exchange 2016 的最低允许集?
答案1
上述答案可能在 Exchange 2010 中有效,但在 2016 年的 OWA 中却造成了严重破坏。Exchange 2016 中的 OWA 喜欢使用从 microsoft.com 和 sharepoint.com 加载的资源(以及数据:协议)。同样,如上所述,在 OWA 中浏览电子邮件时,该设置不会加载任何外部图像。
下面的设置在 Exchange 2016 中对我来说效果很好。
default-src 'self' https://*.microsoft.com https://*.sharepointonline.com data: 'unsafe-inline'; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;
答案2
我只想为“Matthew L”的回答做出贡献(也感谢他指出正确的方向),因为它与 Exchange 2013 几乎相同,只是你不需要 https://.microsoft.com 和 https://.sharepointonline.com 因此策略如下所示:
default-src 'self' data: 'unsafe-inline';img-src data: https:;script-src 'self' 'unsafe-inline' 'unsafe-eval'
答案3
至少对于 OWA 2010 来说,这是有效的。
内容安全策略“默认src‘self’‘unsafe-inline’;脚本src‘self’‘unsafe-inline’‘unsafe-eval’”;