FirebaseヘッダーCSPルール

Question

だから、私は私のウェブサイト上で<meta>でCSPを追加できることを知っています。しかし、私はあなたのHTTPヘッダにこれらを追加するために優れていることを読みました。私はFirebaseドキュメントで確認し、以下を参照してください。

我々は現在、キーとして次のヘッダーをサポートしています。 ...コンテンツセキュリティポリシー。

ただし、ファイル内のルールをどのようにフォーマットするかについての例は見つかりません。私はこれをoverthinkingすることができますが、どのように私はこれをカバーする私のFirebaseヘッダにルールを追加します：

Refused to load the script 'data:application/javascript;base64,dmFyIHVyY2hpblRyYWNrZXI9ZnVuY3Rpb24oKXt9…RUcmFja2VyQnlOYW1lOiBmdW5jdGlvbigpe190cmFja0V2ZW50OiBmdW5jdGlvbigpe319fTs=' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' https://f.vimeocdn.com https://ssl.google-analytics.com https://js-agent.newrelic.com https://bam.nr-data.net https://f.vimeocdn.com". 

Answer 1

Firebaseホスティングは、「あなたは、あなたが欲しいの正確な結果を得るために、あなたのヘッダーの書式設定を強制しませんただヘッダをフォーマットする方法を見つけ出すしたいでしょう。 This guideはかなり包括的であることを見て、あなたが始めるのに役立つことができます。

が実際にあなたのFirebaseホスティングサイトにCSPヘッダを適用するには、あなたのfirebase.jsonを変更したいと思います。たとえば、

{ 
    "hosting": { 
    "headers": [{ 
     "source":"**", 
     "headers": [ 
     {"key":"Content-Security-Policy","value":"script-src 'self'"} 
     ] 
    }] 
    } 
} 

詳細については、the Firebase Hosting docsを参照してください。