Tauri 安全配置
安全配置。
类型:object
| 名字 | 类型 | 违约 | 描述 |
|---|---|---|---|
csp | CSP的? | 视图 | 将注入到构建的应用程序上的所有 HTML 文件的内容安全策略。如果未指定 dev_csp,则此值也会注入到 dev.This 是配置中非常重要的一部分,因为它可以帮助您确保 WebView 的安全。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。 |
devCsp | CSP的? | 视图 | 在开发时将注入到所有 HTML 文件中的内容安全策略。 这是配置中非常重要的一部分,因为它可以帮助您确保 WebView 的安全。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。 |
freezePrototype | boolean | false | 使用自定义协议时冻结。Object.prototype |
dangerousDisableAssetCspModification | DisabledCspModificationKind | false | 禁用 Tauri 注入的 CSP 源。 在编译时,Tauri 会解析所有前端资产,并将 Content-Security-Policy 更改为仅允许通过注入随机数和哈希源来加载您自己的脚本和样式。这会限制 CSP,在与其他 flexing 源一起使用时可能会引入问题。 此配置选项允许将布尔值和字符串列表作为值。布尔值指示 Tauri 禁用所有 CSP 注入的注入,字符串列表指示 Tauri 无法注入的 CSP 指令。 警告:仅当您知道自己在做什么并已正确配置 CSP 时,才禁用此功能。如果没有此 Tauri 保护,您的应用程序可能容易受到 XSS 攻击。 |
dangerousRemoteDomainIpcAccess | RemoteDomainAccessScope[] | [] | 允许外部域向 Tauri 发送命令。 默认情况下,外部域无权访问 ,这意味着它们无法与 Rust 中定义的命令进行通信。这可以防止外部加载的恶意或受感染的站点可能开始在用户设备上执行命令的攻击。 此配置允许一组外部域访问 Tauri 命令。将域配置为允许访问 IPC 时,将允许所有子路径。不允许使用子域。 警告:仅当对恶意外部站点进行内部检查或可以信任允许的外部站点时,才使用此选项。否则,您的应用程序可能容易受到危险的 Tauri 命令相关攻击。 window.__TAURI__ |
CSP公司
Content-Security-Policy 定义。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP。
可以是以下任何一种类型:
-
string:单个文本字符串中的整个 CSP 策略。 -
object:将指令及其源值映射为字符串列表的对象。
CspDirectiveSources
Content-Security-Policy 指令源列表。请参见 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/Sources#sources。
可以是以下任何一种类型:
-
string:CSP 源的内联列表。与 相同,但用空格分隔符连接。List -
string[]:CSP 源的列表。该集合将与 CSP 字符串的空格分隔符连接。
DisabledCspModificationKind
config 选项的可能值。dangerous_disable_asset_csp_modification
可以是以下任何一种类型:
-
boolean:如果 ,则禁用所有 CSP 修改。 是默认值,它将 Tauri 配置为控制 CSP。truefalse -
string[]:禁用给定的 CSP 指令修改列表。
RemoteDomainAccessScope
外部命令访问定义。
类型:object
| 名字 | 类型 | 违约 | 描述 |
|---|---|---|---|
scheme | string? | 零 | 要允许的 URL 方案。默认情况下,允许所有架构。 |
domain | string(必填) | 零 | 要允许的域。 |
windows | string[](必填) | 零 | 此范围适用的窗口标签列表。 |
plugins | string[] | [] | 此范围内允许的插件列表。 |
enableTauriAPI | boolean | false | 启用对 Tauri API 的访问。 |