我正在开发一个phonegap / cordova网络应用程序,现在我被困在安全部分 . 我希望CSP元标记只允许使用cordova插件,来自我的网络应用程序文件夹(本地)的.js脚本,只允许来自我的网络应用程序文件夹(本地)和谷歌字体的css . 此外,我需要允许谷歌Admob和应用程序购买的请求 .

我试过这个:

style-src 'self' https://fonts.googleapis.com/; script-src 'self'; object-src 'none'

但当我使用https://csp-evaluator.withgoogle.com/进行评估时,它说:如果您托管JSONP,Angular或用户上传的文件,'self'可能会有问题 . 而且...我的例子也不允许使用cordova插件 .

如何创建它以允许这些插件和我自己的js脚本从本地www / js文件夹:

<plugin name="cordova-plugin-device" source="npm" spec="~1.1.1" />
<plugin name="cordova-plugin-file" source="npm" spec="~4.1.1" />
<plugin name="cordova-plugin-media" source="npm" spec="~2.2.0" />
<plugin name="cordova-plugin-statusbar" source="npm" spec="~2.4.1" />
<plugin name="cordova-plugin-vibration" source="npm" spec="~2.1.0" />
<plugin name="cordova-plugin-whitelist" source="npm" spec="~1.2.1" />
<plugin name="cordova-plugin-device-motion" spec="~1.2.5" />
<plugin name="cordova-plugin-network-information" />
<plugin name="cordova-plugin-admob-free" spec="~0.15.0" />
<plugin name="cordova-plugin-insomnia" version="4.3.0" source="npm" />
<gap:plugin name="cc.fovea.cordova.purchase" source="npm" version="6.0.0">