主页 / server / 问题 / 932273
Accepted
shouldbeq931
Asked: 2018-09-24 08:25:25 +0800 CST

Exchange 2016 的内容安全策略

  • 772

我想为 /owa 和 /ecp 添加 Exchange 2016 的 Content-Security-Policy 标头。

很清楚“限制性太强”的 Content-Security-Policy 标头可能会破坏 /owa 和 /ecp,是否存在已知的 Exchange 2016 工作最低许可集?

exchange-2016

3 个回答

  1. 我只想为“Matthew L”的答案做出贡献(也感谢他指出正确的方向),因为 Exchange 2013 几乎相同,只是您不需要 https:// .microsoft.com 和 https :// .sharepointonline.com 所以政策看起来像这样:

    default-src 'self' data: 'unsafe-inline';img-src data: https:;script-src 'self' 'unsafe-inline' 'unsafe-eval'
    • 2
  2. Best Answer

    上面的答案可能在 Exchange 2010 中有效,但在 2016 年对 OWA 造成严重破坏。Exchange 2016 中的 OWA 喜欢使用从 microsoft.com 和 sharepoint.com 加载的资源(以及数据:协议)。同样如上所述,在 OWA 中浏览电子邮件时,该设置不会加载任何外部图像。

    下面的设置在 Exchange 2016 中对我来说效果很好。

    default-src 'self' https://*.microsoft.com https://*.sharepointonline.com data: 'unsafe-inline'; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;
    • 1

  3. 这至少适用于 OWA 2010。

    Content-Security-Policy "default-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'";

    • -1

相关问题