Javascript 如何使用nonce白名单内联事件处理程序
我使用nonce是为了允许内联脚本对抗内容安全策略,它工作正常,但它也阻止了内联事件处理程序 我使用了nonce,但没有了解如何将内联事件处理程序列入白名单 家Javascript 如何使用nonce白名单内联事件处理程序,javascript,jquery,html,content-security-policy,nonce,Javascript,Jquery,Html,Content Security Policy,Nonce,我使用nonce是为了允许内联脚本对抗内容安全策略,它工作正常,但它也阻止了内联事件处理程序 我使用了nonce,但没有了解如何将内联事件处理程序列入白名单 家 它不应该也阻止内联事件处理程序。您是否考虑过尝试使用Javascript正确附加处理程序?InIneLine处理程序几乎被普遍认为是一个非常糟糕的想法。遗留问题将导致数百万的更改和问题。为什么要像使用nonce for inline scripts白名单一样寻找允许内联事件处理程序的方法呢?您所能做的就是允许不安全的内联,这有效地关
它不应该也阻止内联事件处理程序。您是否考虑过尝试使用Javascript正确附加处理程序?InIneLine处理程序几乎被普遍认为是一个非常糟糕的想法。遗留问题将导致数百万的更改和问题。为什么要像使用nonce for inline scripts白名单一样寻找允许内联事件处理程序的方法呢?您所能做的就是允许
不安全的内联,这有效地关闭了脚本的CSP。它不是完全安全的,因为xss,我使用了nonce,它允许内联脚本,但我仍然不使用不安全的内联CSP块内联事件处理程序。