如果我在index.html中已经有一个CSP,为什么要配置Cordova config.xml

问题描述 投票:0回答:1

所以我的index.html中已经有以下标记:

content="base-uri *; object-src 'none'; script-src 'self' 'sha256-LOml7W8v08pQhD4vcNTjNY+cvcYQV/kKF3Zhx8Ht2gc=' 'sha256-F9BbcOryafEGOcifHtySkTo4WqryjpUUKUEFIg2xMQ4='; style-src 'unsafe-inline' 'self'; default-src 'none'; manifest-src 'self'; connect-src https://*.mywebsite.com ws://*.mywebsite.com wss://*.mywebsite.com https://api.mixpanel.com https://www.google-analytics.com; frame-src 'self' some.other.website; font-src 'self'; img-src *.mywebsite.com 'self' data: https:; media-src 'self' *.mywebsite.com">

这已经相当严格了。

我们现在正在迁移到cordova。问题是:

  1. 由于我们的index.html中已经有一个严格的CSP,而cordova似乎正确地应用它,我们是否需要在config.xml中进行任何配置
  2. 如果我们确实需要在config.xml中配置一些东西,我们应该在给定CSP的情况下配置什么(请注意我们希望我们的cordova应用程序重定向到任何域)。

提前致谢

android ios cordova phonegap content-security-policy
1个回答
0
投票

除非您计划显示来自YouTube等流媒体网站的视频,否则您无需在config.xml中配置任何内容。

在我的config.xml中,我必须直接在<widget>中添加:

<access origin="*" />

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.