标签: browser content-security-policy
为什么内容安全策略中的“不安全内联”不安全?
内联脚本怎么了?与提供哈希或随机数相比,这只是不安全吗?还是我缺少嵌入式脚本而不是远程脚本的嵌入内容?
答案 0 :(得分:1)
由于XSS,内联脚本不安全。当允许“不安全内联”时,您会将自己的内联脚本以及任何恶意嵌入的脚本列入白名单。使用散列或随机数,您可以将自己的脚本列入白名单,同时阻止所有其他脚本执行。