Chrome 확장 프로그램 'Content Security Policy (CSP)'을 읽었습니다. 그것은 말합니다 :인라인 JS 블록이 안전하지 않은 이유는 무엇입니까?
인라인 JavaScript뿐만 아니라 위험한 문자열 - 투 - JavaScript 방법 eval과 같은, 실행되지 않습니다. 이 제한은 인라인 블록과 인라인 이벤트 처리기 (예 :
...<button onclick="...">
)를 금지합니다.는 인라인 자바 스크립트를 실행에 대한 제한을 완화하는 메커니즘이 없습니다. 특히 에 unsafe-inline이 포함 된 스크립트 정책을 설정하면 아무 효과가 없습니다. 이는 의도적 인 것입니다.
왜 인라인 <script>
블록이 안전하지 않습니까? 아무도 그것을 설명 할 수 있습니까? 예를 들면 더 좋을 것입니다.
감사합니다. 페이지로
이 인라인 '