对于简单的原型设计,我想在我的网站的根目录上运行内联脚本,这是一个html-1文件。 JavaScript控制台说:
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:" script-src' self' https://boomla.com自我"。 “不安全 - 内联”和“不安全”。关键字,哈希(' sha256-fdu2bQSeIdU5fvNNkRCjiwUEOOb + NLZDyGNVShZ1vCM =')或nonce(' nonce -...')是启用内联执行所必需的。
我发现我可以使用.Trust文件配置内容安全策略,但我没有设置它来启用内联脚本。
答案 0 :(得分:1)
将您的javascript代码放在单独的脚本文件中,并将其与根html-1内容相关联。
文件[类型]
//example.com [html-1]
//example.com/script.js [static-1]
//example.com的文件内容:
<script src="/script.js"></script>
hello world
//example.com/script.js
alert('Hello from script.js!')
<head> 您还可以在<head>文件中使用html-1将<script>移至响应头:
<head>
<script src="/script.js"></script>
</head>
hello world
html-1解释器的一项功能是即使在编写<head>代码时也可以使用.Inline部分。 (在此示例中,执行.Request方法,因为请求是直接提供的。)
.Trust 这几乎是正确的,但你必须像这样引用哈希:
script-src 'sha256-XTqNqFSUlZHAW7f/OGNYSOEzxKhjdAAGMXoid2VEbJk='
注意:然后您必须提交更改以防止恶意软件添加受信任方。因此,这种方法不便于黑客攻击你的内容。