Exchange 2016 的內容安全策略

我想為 /owa 和 /ecp 添加 Exchange 2016 的 Content-Security-Policy 標頭。

很清楚“限制性太強”的 Content-Security-Policy 標頭可能會破壞 /owa 和 /ecp，是否存在已知的 Exchange 2016 工作最低許可集？

上面的答案可能在 Exchange 2010 中有效，但在 2016 年對 OWA 造成嚴重破壞。Exchange 2016 中的 OWA 喜歡使用從 microsoft.com 和 sharepoint.com 載入的資源（以及數據：協議）。同樣如上所述，在 OWA 中瀏覽電子郵件時，該設置不會載入任何外部圖像。

下面的設置在 Exchange 2016 中對我來說效果很好。

default-src 'self' https://*.microsoft.com https://*.sharepointonline.com data: 'unsafe-inline'; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;

引用自：https://serverfault.com/questions/932273