ウェブアプリケーション用にCSPを実装しました。 nonce
のすべてのインラインスクリプトが実行されます。それがないものは実行されません。しかし、これは私がコンソールに表示メッセージであるSafariではSafariでCSP nonceを無視しました
:コンテンツセキュリティポリシーディレクティブ「スクリプト-SRC」のソースリスト
が無効なソースが含まれます。 「」ナンス-fbe23fb21d40c38e8df7c0a16357dd3ec4be86ca233cb41206ac5f897cf9a103' を' これは無視されます。
ヘッダー:スクリプトが実行されているインラインの
Content-Security-Policy script-src 'nonce-cb28e5c8a2b833169bb8d1fa686f659fed9b3bf8ea52b86916bcaf20a04b3209' 'self'
なし、ナンスとさえもの。
を参照してください。 –
ng-clickがCSPで動作しない場合は、ng-clickの問題であり、CSPでは問題ではありません。 – oreoshake
安全なインラインは、可能であれば避けるべきであることを指摘する価値があります。なぜなら、CSPを最初に使用する目的に反するからです。 – nucc1