WebPack 安全策略

webpack 能够为其加载的所有脚本 nonce。要启用此，需要在引入的入口脚本中设置 __webpack_nonce__ 变量。应该为每个唯一的视图和提供唯一的基于 hash 的 nonce，这就是为什么 __webpack_nonce__ 要在入口中指定，而不是在配置中指定的原因。请注意，nonce 应该是 base64 编码的字符串。

示例

在 entry 中：

// ...
__webpack_nonce__ = 'c29tZSBjb29sIHN0cmluZyB3aWxsIHBvcCB1cCAxMjM=';
// ...

启用 CSP

请注意，CSP 认情况下不启用。需要与文档(document)一起发送相应的 CSP header 或  < http-equiv="Content-S-Policy" ...>，以告知浏览器启用 CSP。以下是包含 CDN 白名单 URL 的 CSP header 的示例：

Content-S-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;

有关 CSP 和 nonce 的更多信息，请查看的进一步阅读部分。

进一步阅读