У меня есть IFRAME в WebView, который загружает скрипт из актива Android приложения, используя следующие: -Как CSP ограничить файл: /// urls в chrome?
<script src='file:///android_asset/trusted-iframe-script.js'></script>
Теперь я хочу, чтобы иметь политику защиты контента на IFRAME таким образом, что никакой другой сценарий не может быть загружен , Для этого я добавил следующее в IFrame ПСУ
script-src: 'file:///android_asset/trusted-iframe-script.js';
Это не работает, так как файл Ури игнорируется хромом.
The source list for Content Security Policy directive 'script-src' contains an invalid source: 'file:///android_asset/trusted-iframe-script.js'. It will be ignored.
Refused to load the script 'file:///android_asset/trusted-iframe-script.js' because it violates the following Content Security Policy directive: "script-src file:///android_asset/trusted-iframe-script.js".
Я прочитал о файловой системе Урии, но это требует запрос на доступ к пользователю, но я на самом деле нужен только доступ к своему собственному имуществу, а не файловая системе в целом. Я также читал о blob: urls, но это похоже на наложение всего скрипта.
Каков правильный путь для csp ограничивать только файлы URL?