Firebase 헤더 CSP 규칙

Question

내 웹 사이트의 <meta>에 CSP를 추가 할 수 있다는 것을 알고 있습니다. 그러나, 나는 당신의 HTTP 헤더에 추가하는 것이 더 낫다는 것을 읽었다. Firebase 문서를 확인한 후 다음을보십시오 :

현재 우리는 다음 헤더를 키로 지원합니다 : ... Content-Security-Policy.

그러나 파일에서 규칙의 형식을 지정하는 방법에 대한 예는 찾을 수 없습니다. '그래서 정확한 결과는 당신이 원하는 얻을,

Refused to load the script 'data:application/javascript;base64,dmFyIHVyY2hpblRyYWNrZXI9ZnVuY3Rpb24oKXt9…RUcmFja2VyQnlOYW1lOiBmdW5jdGlvbigpe190cmFja0V2ZW50OiBmdW5jdGlvbigpe319fTs=' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' https://f.vimeocdn.com https://ssl.google-analytics.com https://js-agent.newrelic.com https://bam.nr-data.net https://f.vimeocdn.com". 

Answer 1

중포 기지 호스팅이 헤더의 서식을 적용하지 않습니다 : 나는 이것을 지나친 될 수 있지만, 어떻게이 문제를 다룰 것입니다 내 중포 기지 헤더에 규칙을 추가하려면 헤더를 포맷하는 방법을 알아 내려고합니다. This guide은 꽤 포괄적 인 것으로 보이며 시작하는 데 도움이 될 수 있습니다.

실제로 CSP 헤더를 Firebase Hosting 사이트에 적용하려면 firebase.json을 변경해야합니다. 예를 들어 :

{ 
    "hosting": { 
    "headers": [{ 
     "source":"**", 
     "headers": [ 
     {"key":"Content-Security-Policy","value":"script-src 'self'"} 
     ] 
    }] 
    } 
} 

은 자세한 내용은 the Firebase Hosting docs를 참조하십시오.