我可以理解它如何与注入然后链接外部JS文件的人一起工作,但是在脚本标签中直接编写脚本呢?你无法判断它是否来自其他来源。
答案 0 :(得分:1)
默认情况下,CSP会对此进行防范。正如你所说,很难说CSP对这些内容的真正起源是通过默认禁止内联脚本(包括onclick =“”属性)来解决这个问题。使用内联脚本的方法只有两种:指定禁用保护的'unsafe-inline'。或者指定nonce或hash将特定内联脚本列入白名单。
值得注意的是,在撰写本文时(2015年8月),并非所有浏览器都支持白名单内联脚本的随机数和散列方法,因此可能会在未准备好CSP级别2的浏览器中导致不良行为。 / p>