一个内容安全策略与default-src或style-src指令将阻止内嵌样式被应用到<style>的元素或样式属性.要允许使用内联样式,unsafe-inline必须将值应用于CSP fetch指令.这似乎表明内联样式是不安全的.
虽然联JavaScript是XSS攻击的一个明显的攻击向量(CSP是几乎无用带script-src 'unsafe-inline'),谷歌的Web基础认为直列风格是相对等同的威胁,提供了一个例子,从2009年的博客文章聪明的数据泄露的方法.
另一方面,另一篇Web Fundamentals文章表明,内联样式可以帮助优化关键渲染路径,因为在浏览器获取外部资源时,不会阻止第一个绘制.似乎在安全性和性能之间存在非常真实的权衡:
一般来说,内联样式的风险有多大?
我刚刚更新到OSX Yosemite,每次执行sudo命令时,操作系统会在密码提示之前发出此警告:
WARNING: Improper use of the sudo command could lead to data loss
or the deletion of important system files. Please double-check your
typing when using sudo.
这个警告怎么能被压制?
我很好奇为什么用 _.throttle 包装函数在函数声明中不起作用。此函数表达式的行为符合预期:
var myFunc = _.throttle(function(){
console.log("I'm throttling");
}, 1000);
虽然这不会:
function myFunc(){
return _.throttle(function(){console.log("I'm throttling");}, 1000);
}
任何见解将不胜感激。