內容安全策略允許內聯樣式不帶不安全內聯

Question

使用內容安全策略而不帶style-src「不安全內聯」如何允許這樣的樣式？

<span style="font-size: 16px;">Hello</span>

我已經嘗試添加一個隨機數給他們，並補充說，現時的CSP頭但這似乎並沒有工作

<span style="font-size: 16px;" nonce="0611873de7e2db5985c289fdfa946caee2ae1860">Hello</span>

"style-src 'nonce-0611873de7e2db5985c289fdfa946caee2ae1860' 'self'"

有沒有辦法做到這一點，而不添加'unsafe-inline'指令？

Answer 1

根據https://bugzilla.mozilla.org/show_bug.cgi?id=855326#c35隨機數的樣式屬性不支持

Answer 2

針對此問題的常見解決方法是編寫內嵌式（或內聯腳本）的數據輸入標籤：

<input id="my-font-size" type="hidden" value="16" /> 

或在HTML5：

<input id="my-id" data-font-size="16" /> 

和處理經由外部包含的JavaScript的數據（以避免違反 「腳本-SRC」 CSP）：

$('span').css('font-size', $('#my-id').data('font-size'));