问题标签 [script-src]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
content-security-policy - 无论如何配置内容安全策略以允许任何第三方脚本但不允许内联/评估
无论如何配置内容安全策略以允许任何第三方脚本但不允许内联/评估?
我有一些必须定期添加和删除的第三方营销/分析脚本。我想通过用户输入来保护页面与内联和评估样式 xss。对于这个用例,我的 CSP 会是什么样子?谢谢。
angular - 为什么 CSP script-src unsafe-inline 会在我的 Angular webapp 上引发样式问题?
问题:
当我尝试删除CSP 的unsafe-inline源代码时,script-src我的 Angular webapp 不再工作。
这个问题的根本原因是什么?
在 Angular@12+ 中使用 SCSS 时,Angularonload在index.html:7上添加一个属性
<link rel="stylesheet" href="styles.672c1ac3d6da8cc311a2.css" media="print" onload="this.media='all'">
这会导致违反标头的 CSPunsafe-inline源script-src。
如何解决此问题并在我的 Angular Web 应用程序上消除此“安全漏洞”?