内容安全策略 (CSP)

Tauri 限制了您的 HTML 页面的内容安全策略 (CSP)。这可以用来减少或防止常见的基于 Web 的漏洞（如跨站脚本攻击 (XSS)）的影响。

本地脚本会被哈希处理，样式和外部脚本会使用加密的 nonce 进行引用，这可以防止加载未经允许的内容。

注意

避免加载远程内容，例如通过 CDN 提供的脚本，因为它们会引入攻击媒介。一般来说，任何不受信任的文件都可能引入新的和微妙的攻击媒介。

只有在 Tauri 配置文件中设置了 CSP 保护才会启用。您应该使其尽可能严格，仅允许 webview 从您信任且最好是拥有的主机加载资源。在编译时，Tauri 会自动将其 nonce 和哈希值附加到捆绑代码和资源的相关 CSP 属性，因此您只需担心您的应用程序独有的内容。

这是一个从 Tauri 的 api 示例中提取的 CSP 配置示例，但每个应用程序开发人员都需要根据自己的应用程序需求进行定制。

tauri/examples/api/src-tauri/tauri.conf.json

  "csp": {
        "default-src": "'self' customprotocol: asset:",
        "connect-src": "ipc: http://ipc.localhost",
        "font-src": ["https://fonts.gstatic.com"],
        "img-src": "'self' asset: http://asset.localhost blob: data:",
        "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com"
      },

提示

当使用 Rust 开发前端时，或者如果您的前端以其他方式使用 WebAssembly，请记住将 'wasm-unsafe-eval' 作为 script-src 包含在内。

有关此保护的更多信息，请参阅 script-src、style-src 和 CSP 源。