我想知道规范的引用:(https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html)
为了获得最大的好处,作者需要将所有内联脚本和样式移动到外部,例如移动到外部脚本中,因为用户代理无法确定攻击者是否注入了内联脚本.
采购所有内联脚本是一项繁重的任务.
我的问题是从安全的角度来看.通过将所有内联脚本(例如JavaScript)提取到外部源,您真的获得了任何安全性好处吗?
谢谢
javascript inline content-security-policy
content-security-policy ×1
inline ×1
javascript ×1