所以我将第三方的JavaScript文件加载到我的应用程序中,该文件在页面上注入iframe。当iframe加载时,它会加载自己的JavaScript,在父窗口中创建一个内联样式标记。
由于这个流程,我必须在"unsafe-inline"
指令的内容安全策略中使用style-src
。是否有类似strict-dynamic
的内容适用于这样加载的样式?或者是否有某种解决方案,我不必在我的CSP中列出"unsafe-inline"
仍然允许这个样式表?
我能想到的最好的方法是每隔几个小时扫描一次这个重定向文件并生成子资源完整性哈希值,以便定期注入我的CSP,但这看起来非常脆弱。
答案 0 :(得分:0)
通过CSS对象模型(CSSOM)设置CSS与CSP一起使用。因此:
document.getElementById(id).style.left = '343px';
在这种情况下,您可能必须说服第三方供应商更改其JavaScript。