Exchange-2016
Exchange 2016 的內容安全策略
我想為 /owa 和 /ecp 添加 Exchange 2016 的 Content-Security-Policy 標頭。
很清楚“限制性太強”的 Content-Security-Policy 標頭可能會破壞 /owa 和 /ecp,是否存在已知的 Exchange 2016 工作最低許可集?
上面的答案可能在 Exchange 2010 中有效,但在 2016 年對 OWA 造成嚴重破壞。Exchange 2016 中的 OWA 喜歡使用從 microsoft.com 和 sharepoint.com 載入的資源(以及數據:協議)。同樣如上所述,在 OWA 中瀏覽電子郵件時,該設置不會載入任何外部圖像。
下面的設置在 Exchange 2016 中對我來說效果很好。
default-src 'self' https://*.microsoft.com https://*.sharepointonline.com data: 'unsafe-inline'; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;