我正在阅读Chrome扩展文档"内容安全策略(CSP)"。它说:
谢谢。
为什么内联内联JavaScript以及危险的字符串转换JavaScript方法,如eval,将不会被执行。此限制禁止内联块和内联事件处理程序(例如
<button onclick="...">
)。...
没有放松执行内联JavaScript限制的机制。特别是,设置包含unsafe-inline的脚本策略将没有任何效果。这是有意为之的。
<script>
块是不安全的?有人能解释一下吗?如果您能提供示例,那就更好了。谢谢。
<script>
块如何被恶意第三方攻击。有例子吗? - weilou