Tauri 安全配置

2024-01-30 15:09 更新

安全配置。

类型:object

名字类型违约描述
csp
CSP的?视图将注入到构建的应用程序上的所有 HTML 文件的内容安全策略。如果未指定 dev_csp,则此值也会注入到 dev.This 是配置中非常重要的一部分,

因为它可以帮助您确保 WebView 的安全。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。
devCsp
CSP的?视图在开发时将注入到所有 HTML 文件中的内容安全策略。

这是配置中非常重要的一部分,因为它可以帮助您确保 WebView 的安全。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。
freezePrototype
booleanfalse使用自定义协议时冻结。Object.prototype
dangerousDisableAssetCspModification
DisabledCspModificationKindfalse禁用 Tauri 注入的 CSP 源。

在编译时,Tauri 会解析所有前端资产,并将 Content-Security-Policy 更改为仅允许通过注入随机数和哈希源来加载您自己的脚本和样式。这会限制 CSP,在与其他 flexing 源一起使用时可能会引入问题。

此配置选项允许将布尔值和字符串列表作为值。布尔值指示 Tauri 禁用所有 CSP 注入的注入,字符串列表指示 Tauri 无法注入的 CSP 指令。

警告:仅当您知道自己在做什么并已正确配置 CSP 时,才禁用此功能。如果没有此 Tauri 保护,您的应用程序可能容易受到 XSS 攻击。
dangerousRemoteDomainIpcAccess
RemoteDomainAccessScope[][]允许外部域向 Tauri 发送命令。

默认情况下,外部域无权访问 ,这意味着它们无法与 Rust 中定义的命令进行通信。这可以防止外部加载的恶意或受感染的站点可能开始在用户设备上执行命令的攻击。

此配置允许一组外部域访问 Tauri 命令。将域配置为允许访问 IPC 时,将允许所有子路径。不允许使用子域。

警告:仅当对恶意外部站点进行内部检查或可以信任允许的外部站点时,才使用此选项。否则,您的应用程序可能容易受到危险的 Tauri 命令相关攻击。window.__TAURI__

CSP公司

Content-Security-Policy 定义。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。

可以是以下任何一种类型:

  • string​:单个文本字符串中的整个 CSP 策略。
  • object​:将指令及其源值映射为字符串列表的对象。

CspDirectiveSources

Content-Security-Policy 指令源列表。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#sources。

可以是以下任何一种类型:

  • string​:CSP 源的内联列表。与 相同,但用空格分隔符连接。List
  • string[]​:CSP 源的列表。该集合将与 CSP 字符串的空格分隔符连接。

DisabledCspModificationKind

config 选项的可能值。​dangerous_disable_asset_csp_modification

可以是以下任何一种类型:

  • boolean​:如果 ,则禁用所有 CSP 修改。 是默认值,它将 Tauri 配置为控制 CSP。truefalse
  • string[]​:禁用给定的 CSP 指令修改列表。

RemoteDomainAccessScope

外部命令访问定义。

类型:object

名字类型违约描述
scheme
string?要允许的 URL 方案。默认情况下,允许所有架构。
domain
string(必填)要允许的域。
windows
string[](必填)此范围适用的窗口标签列表。
plugins
string[][]此范围内允许的插件列表。
enableTauriAPI
booleanfalse启用对 Tauri API 的访问。


以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号