0

根据我的经验,启用时,下面的标题会阻止页面上的内联脚本。

Content-Security-Policy: default-src 'self'.

为什么内联代码不被视为“自我”?

我知道我可以使用 nonce 或其他变通方法来允许内联或移动到外部文件。我只是想知道为什么内联代码不被视为自我。

希望这是有道理的

4

1 回答 1

1

By default inline code is disabled, not just because of default-src 'self'. To enabled inline code one has to use unsafe-inline in script-src

于 2022-03-02T05:09:40.823 回答