我们的网站中有以下 CSP 标头
default-src'self'https:blob:数据:'unsafe-inline''unsafe-eval'script-src:https://ajax.googleapis.comhttps://analytics.kaltura.com https://api.peer5.com https://bat.bing.com https://cdnapisec.kaltura.com https://cookie-cdn.cookiepro.com https:// maps.googleapis.com https://players.brightcove.net https://s7.addthis.com https://secure.perk0mean.com https://static.cloud.coveo。 com https://tag.demandbase.com https://www.google.com https://www.googleadservices.com https://www.googletagmanager.com https:/ /www.gstatic.com object-src:https://fonts.gstatic.com connect-src:*.google-analytics.com *.analytics.google.com img-src:*.google-analytics。 com *.analytics.google.com;
由于安全问题,我们正在尝试从 CSP 标头中删除 unsafe-inline 和 unsafe-eval 等策略值。
在我们的项目结构中,我们有很多外部脚本、内联脚本和内联样式,很少有地方我们无法避免内联样式和脚本
内联样式示例
我们在更多地方使用这样的格式。如何在不更改代码级别更改的情况下删除 unsafe-inline 和 unsafe-eval 这意味着我正在询问 CSP 策略中的任何其他替代方案或任何其他替代解决方案