http - “内容安全策略”,信任“子”脚本/样式
问题描述
有没有办法定义一个content-security-policy
标头,指定它应该信任从已经列入白名单的源域创建的内联脚本/样式?
例如我有以下标题:
Content-Security-Policy: script-src https://www.somesite.com
我从这个站点加载https://www.somesite.com/somescript.js
它,然后动态创建内联样式和脚本,而不需要哈希或随机数。
这可能吗?
解决方案
推荐阅读
- css - flexbox 和网格系统有什么区别?
- sql-server - SQL Server:如何在两次之间暂停计划作业?
- java - java.lang.ClassNotFoundException: com.lowagie.text.Font
- c# - ASP.NET Core 2 MVC + EF Core 2 或 Angular 5
- jenkins - 删除 Jenkins 中所有禁用的模块
- sql - 如何根据表中的这些值之一跳过映射到多个值的 id
- facebook - 离子的facebook插件有没有像“静默登录”这样的方法?
- java - 当 2 个条件为真时从 JSON 获取值
- grails - 在一定时间后调用另一个 gsp
- angular - ngFor 只显示数组中的第一项