Sto provando a distribuire la mia app seguendo il codice-push doc. Ho poi aggiunto il seguente contenuto-sicurezza per la mia app index.htmlRifiutato di caricare l'immagine perché viola la politica di contenuto-securtiy - Cordova
<meta http-equiv="Content-Security-Policy" content="default-src https://codepush.azurewebsites.net 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
Immediatamente ho aggiunto, la mia app non funziona di nuovo. Quando eseguo il mio browser cordova. Ho visto molti errori nella console. Si scopre i miei file di stili di riferimento da github, mie immagini referenziate da mysite.com/... e gli altri miei script esterni, goopleapis sono la mia politica di sicurezza al di sotto
<meta http-equiv="Content-Security-Policy" content="default-src * 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *">
Ora funziona bene. La mia domanda è: qual è la ramificazione della sicurezza? Dovrei lasciarlo in quel modo? Quanto meglio dovrei farlo? Qualsiasi aiuto o opinione sarebbe apprezzato. Sono preoccupato che lasciare * possa permettere che gli attacchi siano sospesi.
I documenti sono davvero utili. Controllali se questa domanda non risponde a tutto. –