内容安全策略自阻塞内联
Content Security Policy self blocking inline
根据我的经验,下面的 header 启用后会阻止页面上的内联脚本。
Content-Security-Policy: default-src 'self'.
为什么内联代码不被视为“self”?
我知道我可以使用 nonce 或其他解决方法来允许内联或移动到外部文件。我只是想知道为什么内联代码不被视为 self。
希望有道理
默认情况下内联代码是禁用的,不仅仅是因为 default-src 'self'。要启用内联代码,必须在 script-src
中使用 unsafe-inline
根据我的经验,下面的 header 启用后会阻止页面上的内联脚本。
Content-Security-Policy: default-src 'self'.
为什么内联代码不被视为“self”?
我知道我可以使用 nonce 或其他解决方法来允许内联或移动到外部文件。我只是想知道为什么内联代码不被视为 self。
希望有道理
默认情况下内联代码是禁用的,不仅仅是因为 default-src 'self'。要启用内联代码,必须在 script-src
unsafe-inline