ファンクションコールと画像表示のコンテンツセキュリティポリシーの問題

Question

私のサイトで指定したポリシーの効果を理解していないhttp://pcrypt.org/dev/groups.php。

header("X-Content-Security-Policy: allow 'self'; img-src *; script-src 'self'; frame-src 'self'; style-src 'self';"); 

私がインラインスクリプトを許可しない場合、どのように関数を呼び出すのですか。

Advarsel: CSP: Directive "inline script base restriction" violated 
Kildefil: http://pcrypt.dk/dev/groups.php 
Linje: 0 
Kildekode: 
onload attribute on UNKNOWN element 

作品罰金：ページでは、私は（「初期化（）」=ボディのonload）が、それは（デンマーク語で申し訳ありません）このエラーを発生させるのonloadからサーバー上のjsファイルにある関数を呼び出すことを試みてきました"options inline-script;"が追加されました

また、DOMが準備完了でイメージが読み込まれるのを待たずに、CSPを使ってこれを行うにはどうすればいいですか？

また、私は"img-src *;"が必要だと思うが、画像がまったく表示されない。画像は同じサーバーにありますか？

ご理解ください。

Answer 1

OK今私はそれ;-)

IMG-srcの '自己' だと思います。今のところ期待通りに動作します - 私が行方不明だったと思っています '

CSPがある場合、HTML部分には何らかの関数を呼び出すことはできません。私はjavascriptコードでonclickイベントハンドラなどを割り当てる必要があります。私は、HTML部分からJS関数を呼び出すことが可能であると信じていました - そうではありません。

実際にCSPをサポートするためのかなりの作業です！