NextJS 如何配置内容安全策略（ CSP ）

回答：

在Next.js中配置内容安全策略（Content Security Policy, CSP）主要可以通过两种方式进行：一是通过在next.config.js文件中使用自定义的HTTP头部设置，另一种是在页面的_document.js文件中动态设置CSP头部。

方法一：使用 next.config.js 配置CSP

您可以在next.config.js文件中使用headers()函数来添加或修改HTTP头部，其中包括CSP头部。这种方法的优点是中央管理，易于维护。但它将应用于所有页面，可能不够灵活。

javascript
// next.config.js
module.exports = {
  async headers() {
    return [
      {
        // 应用于所有URL路径
        source: '/(.*)',
        headers: [
          {
            key: 'Content-Security-Policy',
            value: "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://trustedscripts.example.com; style-src 'self' https://trustedstyles.example.com;",
          },
        ],
      },
    ];
  },
};

方法二：在 _document.js 中动态设置CSP

如果您希望对不同的页面应用不同的CSP策略，可以在_document.js文件中动态地设置CSP。这种方法可以针对不同的页面需求定制策略。

javascript
// pages/_document.js
import Document, { Html, Head, Main, NextScript } from 'next/document';

class MyDocument extends Document {
  render() {
    return (
      <Html>
        <Head>
          <meta
            httpEquiv="Content-Security-Policy"
            content="default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://trustedscripts.example.com; style-src 'self' https://trustedstyles.example.com;"
          />
        </Head>
        <body>
          <Main />
          <NextScript />
        </body>
      </Html>
    );
  }
}

export default MyDocument;

总结

配置CSP的方法依赖于您的具体需求。如果您的安全策略可以全局统一应用，可以选择在next.config.js中配置，这样简单且容易维护。如果需要对不同页面或组件有不同的配置，可以在_document.js中进行动态设置。每种方法都有其适用场景和优势，选择合适的配置方式可以有效增强应用的安全性。