'unsafe-inline' 'unsafe-eval'如果在 CSP 中使用,我们对 JavaScript API 有很强的依赖性。如果我们添加具有以下值的 CSP 标头,我们是否可以通过限制将可能执行脚本的来源列入白名单来改善我们的安全状况,或者我们是否通过明确允许更多地开放自己 'unsafe-inline' 'unsafe-eval'?我们目前的想法是,如果没有 CSP,我们会隐式允许内联脚本和 eval,否则我们的 API 将无法工作,那么 'unsafe-inline' 'unsafe-eval'显式添加到 CSP 的缺点是什么?
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://<localserver> https://<remoteserver>