我想使用内容安全策略并使我的 Django Web 应用程序安全,而没有任何不安全的内联代码。但是,虽然将大部分 JavaScript 代码移动到外部文件很容易,但我也有一段我不知道修复的内联代码。我正在使用 Django,并且我在 Django 模板上下文中有一些变量,我想将其 pqww 转换为 JavaScript。所以目前我只是将它作为内联 JavaScript 输出。但由于 CSP,这不起作用。
<script type="text/javascript">
/* <![CDATA[ */
var documentURL = '{% filter escapejs %}{{ document.get_document_url }}{% endfilter %}';
/* ]]> */
</script>
将评论放入答案形式并添加一点......
最简单的方法是生成带有属性集的标签。我不知道 django,所以我将它留在纯 html 中:
<input type="hidden" id="mything" value="<MY VALUE>">
当我有多个相关值时,我可能会将它们放入同一个元素中:
<span class="hidden" data-attribute1="<VALUE1>" data-attribute2="<VALUE2>">
<!-- rename 'attributeN' to something meaningful obviously -->
无论哪种情况,只需使用 JS 读取值(为简洁起见,使用 jquery)
$('#mything').data("attribute1")
或者,如果您需要一个复杂的对象,请将其作为 html 实体转义数据放在一个跨度中:
<span class="hidden" id="data-container">
<your html-escaped JSON>
</span>
并在外部文件中读取它:
var myObject = JSON.parse($('#data-container').html());