大家好。我一直在为一个坚持使用特别严格配置的客户重建 CSP。:data并且unsafe-inline必须排除,我的开发人员告诉我,无法为被阻止的脚本生成随机数或哈希值。因此,我只能尝试从主 CSP 中排除特定目录。
到目前为止,我已经尝试采用 2017 年的覆盖设置:
当这不起作用时,我尝试了嵌套的位置块,如下所示:
不幸的是,这两种方法都没有奏效。
我已成功将$cspheader配置移至地图区域,如初始示例中所建议的那样。我知道,最严格的 CSP 最终将默认应用于具有两个 CSP 的目录,而无需某种形式的有效排除,并且 NGINX 中的 If is Evil(尤其是在 Location 上下文中)。欢迎提出任何建议。