我一直在尝试设置一个CSP来使用Office UI Fabric React。是否有可能获得比style-src 'unsafe-inline'
更安全的东西?
我们有一个使用TypeScript的Create React应用程序,我们使用Office UI Fabric React来提供一致的外观。
使用csp-html-webpack-plugin和craco,当设置INLINE_RUNTIME_CHUNK=false
时,可以为我们自己的代码生成带有样式和脚本哈希的CSP。
Office UI Fabric React出现问题 - 它通过merge-styles和@ microsoft / load -medmed-styles将7或8种样式注入页面。
我找不到任何关于使用Office UI Fabric React设置CSP的人的任何引用,更不用说任何可能的解决方案了。
错过了一个非常明显的设置和文档?
谢谢
克里斯
感谢您提请我们注意。我们在@ uifabric / merge-styles v6.17.0中添加了对'nonce'的支持。在FabricConfig对象上指定了随机数:
window.FabricConfig = {
mergeStyles: {
cspSettings: { nonce: 'mynonce'}
}
}
要么
Stylesheet.getInstance().setConfig({
cspSettings: {
nonce: "abc"
}
});
(参见https://codesandbox.io/s/0x1okoklrv中的完整示例)