内容安全政策 (CSP)

Tauri 限制了 HTML 页面的内容安全策略 (CSP)。这可以用来减少或防止常见的基于 Web 的漏洞（如跨站脚本 (XSS)）的影响。

本地脚本被哈希处理，样式和外部脚本使用加密的 nonce 引用，这可以防止加载未经允许的内容。

只有在 Tauri 配置文件中设置时，才会启用 CSP 保护。您应该尽可能严格地设置它，只允许 WebView 从您信任的主机加载资源，最好是自己拥有的主机。在编译时，Tauri 会自动将其 nonce 和哈希附加到相关 CSP 属性中，以捆绑代码和资产，因此您只需要担心应用程序特有的内容。

这是一个从 Tauri 的 api 示例中提取的 CSP 配置示例，但每个应用程序开发者都需要根据自己的应用程序需求进行定制。

  "csp": {
        "default-src": "'self' customprotocol: asset:",
        "connect-src": "ipc: http://ipc.localhost",
        "font-src": ["https://fonts.gstatic.com"],
        "img-src": "'self' asset: http://asset.localhost blob: data:",
        "style-src": "'unsafe-inline' 'self' https://fonts.googleapis.com"
      },

有关此保护的更多信息，请参阅 script-src、style-src 和 CSP Sources。