所以我的index.html 中已经有以下标签:
content="base-uri *; object-src 'none'; script-src 'self' 'sha256-LOml7W8v08pQhD4vcNTjNY+cvcYQV/kKF3Zhx8Ht2gc=' 'sha256-F9BbcOryafEGOcifHtySkTo4WqryjpUUKUEFIg2xMQ4='; style-src 'unsafe-inline' 'self'; default-src 'none'; manifest-src 'self'; connect-src https://*.mywebsite.com ws://*.mywebsite.com wss://*.mywebsite.com https://api.mixpanel.com https://www.google-analytics.com; frame-src 'self' some.other.website; font-src 'self'; img-src *.mywebsite.com 'self' data: https:; media-src 'self' *.mywebsite.com">
这已经相当严格了。
我们现在正在迁移到 Cordova 。问题是:
- 由于我们的index.html 中已经有严格的CSP,并且cordova 似乎正确应用了它,因此我们是否需要在config.xml 中进行任何配置
- 如果我们确实需要在 config.xml 中配置某些内容,那么我们应该根据 CSP 配置什么(请注意,我们希望允许我们的 cordova 应用重定向到任何域)。
提前致谢
最佳答案
您不需要在 config.xml 中配置任何内容除非您打算展示来自 YouTube 等流媒体网站的视频。
在我的config.xml我必须直接将其添加到 <widget> 内:
<access origin="*" />
关于android - 如果我在 index.html 中已有 CSP,为什么还要配置 Cordova config.xml,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55054362/