标签: http header content-security-policy
是否有一种方法来定义content-security-policy标头,以指定它应该信任从已列入白名单的源域创建的内联脚本/样式?
content-security-policy
例如,我有以下标题: Content-Security-Policy: script-src https://www.somesite.com
Content-Security-Policy: script-src https://www.somesite.com
我从该站点加载了https://www.somesite.com/somescript.js,它反过来又动态地创建了内联样式和脚本,而无需哈希或随机数。
https://www.somesite.com/somescript.js
这可能吗?