CSP 中 src-script 指令中的 unsafe-inline 如何使网站遭受 XSS 攻击？

内联脚本通常是 XSS 攻击的第一步，其中一些脚本被放置在页面上，无论是反射还是存储。如果需要额外的说明，它可能会下载额外的脚本代码。

没有 CSP 或在没有 default-src 或脚本指令的 CSP 中，允许内联脚本。

允许不安全内联通过允许最常见的 XSS 攻击向量削弱了 CSP 施加的默认安全限制。这样，您的 CSP 将无法防止 XSS 攻击，只能通过限制脚本下载位置来缩小攻击范围，并加大数据泄露的难度。