内容安全策略 (CSP)
Tauri 限制了你的 HTML 页面的内容安全策略 (CSP)。这可用于减少或预防常见的基于 Web 的漏洞(如跨站脚本 (XSS))的影响。
本地脚本被哈希,样式和外部脚本使用加密随机数引用,这可以防止加载未经允许的内容。
CSP 保护仅在 Tauri 配置文件中设置后才启用。你应该尽可能限制它,只允许 WebView 从你信任(最好是你拥有)的主机加载资产。在编译时,Tauri 会自动将其随机数和哈希值添加到捆绑代码和资产的相关 CSP 属性中,因此你只需要担心应用程序独有的内容。
这是一个取自 Tauri api
示例的 CSP 配置示例,但每个应用程序开发人员都需要根据自己的应用程序需求进行调整。
"csp": { "default-src": "'self' customprotocol: asset:", "connect-src": "ipc: http://ipc.localhost", "font-src": ["https://fonts.gstatic.com"], "img-src": "'self' asset: http://asset.localhost blob: data:", "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com" },
有关此保护的更多信息,请参阅 script-src
、style-src
和 CSP 源。
© 2025 Tauri 贡献者。CC-BY / MIT