内容安全策略 (CSP)

Tauri 限制了你的 HTML 页面的内容安全策略 (CSP)。这可用于减少或预防常见的基于 Web 的漏洞（如跨站脚本 (XSS)）的影响。

本地脚本被哈希，样式和外部脚本使用加密随机数引用，这可以防止加载未经允许的内容。

注意

避免加载远程内容，例如通过 CDN 提供的脚本，因为它们会引入攻击向量。通常，任何不受信任的文件都可能引入新的微妙攻击向量。

CSP 保护仅在 Tauri 配置文件中设置后才启用。你应该尽可能限制它，只允许 WebView 从你信任（最好是你拥有）的主机加载资产。在编译时，Tauri 会自动将其随机数和哈希值添加到捆绑代码和资产的相关 CSP 属性中，因此你只需要担心应用程序独有的内容。

这是一个取自 Tauri api 示例的 CSP 配置示例，但每个应用程序开发人员都需要根据自己的应用程序需求进行调整。

tauri/examples/api/src-tauri/tauri.conf.json

  "csp": {
        "default-src": "'self' customprotocol: asset:",
        "connect-src": "ipc: http://ipc.localhost",
        "font-src": ["https://fonts.gstatic.com"],
        "img-src": "'self' asset: http://asset.localhost blob: data:",
        "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com"
      },

提示

当使用 Rust 开发前端，或者如果你的前端以其他方式使用 WebAssembly 时，请记住将 'wasm-unsafe-eval' 作为 script-src 包含在内。

有关此保护的更多信息，请参阅 script-src、style-src 和 CSP 源。