CSP的今世与未来 (yq.aliyun.com)
@云栖精选 2016-10-19 06:36分享 / 0个评论
要不要再学学下面的文章?
Csp Nonce – 守护你的 inline Scirpt (www.alloyteam.com)
CSP 的默认策略是不允许 inline 脚本执行,所以当我们没有必要进行脚本 inline 时,CSP 域名白名单的机制足以防范注入脚本的问题。然而在实际项目中,我们还是会因为一些场景需要将部分脚本进行 inline。于是需要在 CSP 的规则中增加 script-src 'unsafe-inline' 配置,允许了 inline 资源执行。但也带来了新的安全隐患。
by @技术头条 2022-07-24 21:01 分享 查看详情
使用微博登录,分享你的文章到本站