Insights Hub 在Developer Cockpit中,创建app时Content-security-policy如何配置?

2024-05-27T06:13:12.000-0400
Developer Tools Applications

摘要

在Insights Hub中,当我们在Developer Cockpit中创建app时,Content-security-policy如何配置?

详细信息

Content-security-policy(内容安全策略)它是一个额外的安全层控制,是为站点管理员控制站点加载特定资源而设计,这有助于站点防止跨站点脚本攻击。在Insights Hub平台中开发的应用,如果涉及其他域资源访问或加载,需要将该域配置到Content-security-policy的指令中。更多关于Content-security-policy的内容可以参考连接中的内容:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

了解以上内容足以让我们在Insights Hub平台中创建应用时,如何配置content-security-policy。

  • 简要字段配置说明,这些配置字段的内容也是参考上文中连接中内容,摘出来的一些:
    • default-src:指令是child-src、connect-src、font-src、frame-src、img-src、manifest-src、media-src、object-src、script-src、style-src、worker-src指令的后备指令,对于没有配置的指令值都用default-src指令值替代;
    • script-src:指令为JavaScript的源指定有效来源,这不仅包括直接加载到<script>元素中的URL ,还包括可以触发脚本执行的内联脚本事件处理程序(onclick)和XSLT样式表等内容;
    • style-src:指令指定样式表的有效来源;
    • img-src:指令指定图像和网站图标的有效来源;
    • data:允许将data:URI用作内容源;
  • 在Insights Hub平台中创建应用时,关于content-security-policy字段配置的示例:
    • default-src  *.mindsphereapp.com:  加载匹配所有从使用https:及http: URL的mindsphereapp.com任何子域的资源。
    • default-src  static.cn1.mindsphere-in.cn: 加载匹配对使用https:及http: 的static.cn1.mindsphere-in.cn域的访问。
    • default-src  mail.mindsphereapp.com:443:匹配对mail.mindsphereapp.com域上的443端口的访问。
    • default-src 'self':配置必须包括单引号;指向保护文档的来源,包括相同的URL地址和端口号。一些浏览器会特意排除blob和filesystem从源指令,需要设定这两种内容类型的站点可以在 data 属性中进行设定。
    • default-src 'unsafe-inline': 配置必须包括单引号;允许使用内联资源,例如内联 <script>  元素(javascript: URL)、内联事件处理器以及内联 <style> 元素。
    • default-src 'unsafe-eval': 配置必须包括单引号;允许使用 eval() 以及相似的函数来从字符串创建代码。
    • default-src 'none':配置必须包括单引号;不允许任何内容加载,没有相应的URL匹配。
    • script-src,style-src, img-src:配置指令的示例和default-src基本一致。
  • 配置示例,在创建应用时涉及到www.mindsphereapp.com资源访问
    • default-src 'self' static.cn1.mindsphere-in.cn *.mindsphereapp.com ; style-src * 'unsafe-inline'; script-src 'self' 'unsafe-inline' static.cn1.mindsphere-in.cn *.mindsphereapp.com; img-src * data:;

知识库文章 ID# KB000132889_ZH_CN

内容

摘要详细信息

关联组件

Developer Cockpit