Firebase Header CSP règles

Question

Donc, je sais que je peux ajouter CSP dans le <meta> sur mon site Web. Cependant, j'ai lu qu'il est préférable de les ajouter à votre en-tête HTTP. J'ai vérifié dans les docs Firebase et voir ce qui suit:

Nous soutenons actuellement les en-têtes suivants comme clé: ... Content-sécurité-politique.

Cependant, je ne trouve aucun exemple sur la façon de formater les règles dans le fichier. Je pourrais être Overthinking, mais comment puis-je ajouter des règles à mes têtes Firebase qui couvriraient ceci:

Refused to load the script 'data:application/javascript;base64,dmFyIHVyY2hpblRyYWNrZXI9ZnVuY3Rpb24oKXt9…RUcmFja2VyQnlOYW1lOiBmdW5jdGlvbigpe190cmFja0V2ZW50OiBmdW5jdGlvbigpe319fTs=' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' https://f.vimeocdn.com https://ssl.google-analytics.com https://js-agent.newrelic.com https://bam.nr-data.net https://f.vimeocdn.com". 

Answer 1

Hosting Firebase n'applique pas la mise en forme de vos têtes, afin d'obtenir les résultats exacts que vous voulez vous » Je veux juste comprendre comment formater l'en-tête. This guide semble être assez complet et peut vous aider à démarrer.

Pour appliquer réellement les en-têtes CSP à votre site d'hébergement Firebase, vous devez modifier votre firebase.json. Par exemple:

{ 
    "hosting": { 
    "headers": [{ 
     "source":"**", 
     "headers": [ 
     {"key":"Content-Security-Policy","value":"script-src 'self'"} 
     ] 
    }] 
    } 
} 

Voir the Firebase Hosting docs pour plus de détails.