內容安全策略 (CSP)

Tauri 限制了您 HTML 頁面的 內容安全策略 (CSP)。這可以用於減少或預防常見的基於 Web 的漏洞（如跨站腳本攻擊 (XSS)）的影響。

本地腳本會被雜湊處理，樣式和外部腳本會使用加密的 nonce 來引用，這可以防止未經允許的內容被載入。

注意

避免載入遠程內容，例如通過 CDN 提供的腳本，因為它們會引入攻擊媒介。一般來說，任何不受信任的檔案都可能引入新的和隱蔽的攻擊媒介。

只有在 Tauri 組態檔中設定了 CSP 保護才會啟用。您應該使其盡可能嚴格，僅允許 webview 從您信任且最好是擁有的主機載入資產。在編譯時，Tauri 會自動將其 nonce 和雜湊附加到相關的 CSP 屬性，用於捆綁的程式碼和資產，因此您只需擔心您的應用程式獨有的內容即可。

這是一個取自 Tauri 的 api 範例的 CSP 組態範例，但每個應用程式開發人員都需要根據自己的應用程式需求進行調整。

tauri/examples/api/src-tauri/tauri.conf.json

  "csp": {
        "default-src": "'self' customprotocol: asset:",
        "connect-src": "ipc: http://ipc.localhost",
        "font-src": ["https://fonts.gstatic.com"],
        "img-src": "'self' asset: http://asset.localhost blob: data:",
        "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com"
      },

請參閱 script-src、style-src 和 CSP 來源，以獲取有關此保護的更多資訊。