将unpkg添加到内容安全策略(CSP)

Question

如何将通过Unpkg获取的特定库(ES模块)添加到我的内容安全策略(CSP)策略-即不允许从Unpkg获取所有东西？

例如，我是如何添加一个库的：

<script
  type="module"
  src="https://unpkg.com/web-social-share@latest/dist/websocialshare/websocialshare.esm.js"></script>

对于我的https://unpkg.com/web-social-share@latest/*策略，我尝试了各种解决方案，比如https://unpkg.com/web-social-share@latest/*或https://unpkg.com/web-social-share@*，但是都导致了一个错误：

拒绝加载脚本'https://unpkg.com/web-social-share@latest/dist/websocialshare/websocialshare.esm.js‘，因为它违反了以下内容安全策略指令：" script -src’https://unpkg.com/web-social-share@latest/dist/websocialshare/websocialshare.esm.js‘.

任何看似有效的东西都是允许从Unpkg所有的东西，我想要避免。

<meta
  http-equiv="Content-Security-Policy"
  content="default-src 'self';
    script-src 'self' https://unpkg.com/;" />

Answer 1

这仅在CSP级别3：https://www.w3.org/TR/CSP3/#external-hash中可用。但是不幸的是，您仍然需要支持级别2。但是，您可以在大多数浏览器中使用Subresource。