Я хотел бы добавить заголовки Content-Security-Policy для Exchange 2016 для / owa и / ecp.
Зная, что «слишком ограничительный» заголовок Content-Security-Policy может нарушить работу как / owa, так и / ecp, существует ли известный рабочий наименее разрешительный набор для Exchange 2016?
Я просто хотел бы внести свой вклад в ответ Мэтью Л. (и поблагодарить его также за то, что он указал в правильном направлении), потому что он почти такой же для Exchange 2013, за исключением того, что вам не нужен https: //.microsoft.com и https: //.sharepointonline.com, чтобы политика выглядела так:
default-src 'self' data: 'unsafe-inline';img-src data: https:;script-src 'self' 'unsafe-inline' 'unsafe-eval'
Приведенный выше ответ, возможно, сработал в Exchange 2010, но нанесет ущерб OWA в 2016 году. OWA в Exchange 2016 любит использовать ресурсы, загруженные с microsoft.com и sharepoint.com (а также протокол data:). Также, как указано выше, этот параметр не будет загружать внешние изображения при просмотре электронной почты в OWA.
Приведенная ниже настройка хорошо мне подходит в Exchange 2016.
default-src 'self' https://*.microsoft.com https://*.sharepointonline.com data: 'unsafe-inline'; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;
Это работает, по крайней мере, для OWA 2010.
Content-Security-Policy "default-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'";