我目前正在尝试使用<script type="IN/Share"></script>标记将LinkedIn分享按钮添加到我的网站。不过,我有一个相当强大的内容安全政策,看起来unsafe-inline和style-src都需要script-src,这显然是我不准备做的事情。此时还没有CSP。
有没有人知道如何让分享按钮正确显示而无需启用这些按钮?
答案 0 :(得分:0)
您需要使用nonce或sha哈希。如果它只是Linkedin插件,并且每个页面上的代码都是相同的(就像我希望的那样),你只需要现有指令中包含的sha哈希,例如:
script-src: 'sha-35443567457455424532765'
Google Chrome会在开发工具中为您生成sha哈希值,只需复制它为您提供的字符串,以便加载所需的资源,使用新的CSP重新加载并确认它是否有效。测试多个页面以确保它涵盖所有情况。
如果您的代码添加了大量的内联样式/脚本,那么使用sha会变得混乱,但如果它是这样的单个小部件,它应该只需要一个/几个。当Linkedin的代码发生变化时,确切的sha散列会发生变化(甚至可能依赖于创建按钮时设置的变量)所以我还没有包含精确的散列,因为它不太可能起作用。 / p>