Question

Я пытался настроить CSP для работы с Office UI Fabric React.Можно ли получить что-нибудь более безопасное, чем style-src 'unsafe-inline'?

У нас есть приложение Create React с TypeScript, и мы используем Office UI Fabric React для обеспечения согласованного внешнего вида.

Используя csp-html-webpack-plugin и craco, когда установлено INLINE_RUNTIME_CHUNK=false, можно создать CSP с хэшами для стилей и сценариев для нашего собственного кода.

Проблема возникает с Office UI Fabric React -он вводит 7 или 8 стилей в страницу с помощью стилей слияния и @ microsoft / load-themed-styles.

Мне не удалось найти никаких ссылок на кого-либо еще, кто говорил о настройке CSP с OfficeUI Fabric React, не говоря уже о возможных решениях.

Пропустили действительно очевидные настройки и документацию?

Спасибо

Крис

Anna Pablo · Answer 1 · 16 апреля 2019

Спасибо, что обратили на это наше внимание. Мы добавили поддержку «nonce» в @ uifabric / merge-styles v6.17.0. Одноразовый номер указан в объекте FabricConfig:

window.FabricConfig = { 

        mergeStyles: {
            cspSettings: { nonce: 'mynonce'}
        }
    }

или

Stylesheet.getInstance().setConfig({
 cspSettings: {
 nonce: "abc"
 }
});

(см. Полный пример в https://codesandbox.io/s/0x1okoklrv)

Политика безопасности контента и структура пользовательского интерфейса Office

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Политика безопасности контента и структура пользовательского интерфейса Office

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы