我正在集成一个 cookie 工具 - onetrust。我通过在 html 页面中添加脚本来添加它们。这些脚本调用其他脚本并创建内联样式。我通过向这些脚本添加“随机数”来设法接受所有脚本。我对在 onetrust 工具的 cdn 域上创建的 inline styles 有问题。是否可以加载包含动态注入内联样式并在内容安全策略 (CSP) 中设置 style-src 'self' 的脚本?
有没有人解决过类似的问题,或者是在 csp 中向 style-src 添加“unsafe-inline”指令的唯一解决方案?
OneTrust 现在具有“预览”功能,您可以在其中为脚本提供 nonce,但必须由其支持团队启用。
<script nonce="PPAjsdRsCmdup5UwtyLkdg==" src="https://cdn.cookielaw.org/scripttemplates/otSDKStub.js"" type="text/javascript" charset="UTF-8" data-domain-script="XXXXXXX" ></script>
https://developer.onetrust.com/onetrust/docs/content-security-policy-cdn