跳到内容
Tauri

内容安全策略 (CSP)

Tauri 限制了你的 HTML 页面的内容安全策略 (CSP)。这可用于减少或预防常见的基于 Web 的漏洞(如跨站脚本 (XSS))的影响。

本地脚本被哈希,样式和外部脚本使用加密随机数引用,这可以防止加载未经允许的内容。

CSP 保护仅在 Tauri 配置文件中设置后才启用。你应该尽可能限制它,只允许 WebView 从你信任(最好是你拥有)的主机加载资产。在编译时,Tauri 会自动将其随机数和哈希值添加到捆绑代码和资产的相关 CSP 属性中,因此你只需要担心应用程序独有的内容。

这是一个取自 Tauri api 示例的 CSP 配置示例,但每个应用程序开发人员都需要根据自己的应用程序需求进行调整。

tauri/examples/api/src-tauri/tauri.conf.json
"csp": {
"default-src": "'self' customprotocol: asset:",
"connect-src": "ipc: http://ipc.localhost",
"font-src": ["https://fonts.gstatic.com"],
"img-src": "'self' asset: http://asset.localhost blob: data:",
"style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com"
},

有关此保护的更多信息,请参阅 script-srcstyle-srcCSP 源


© 2025 Tauri 贡献者。CC-BY / MIT