劫持实现问题

Question

我已经添加了以下meta标签，以避免在我的网站上点击劫持。

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

但它抛出“拒绝应用内联样式，因为它违反了以下内容安全策略指令："default-src 'self'”。需要'unsafe- inline‘关键字、散列('sha256-CwE3Bg0VYQOIdNAkbB/Btdkhul49qZuwgNCMPgNY5zw=')，或现时值(' nonce -...')才能启用内联执行。还要注意，' style -src’没有显式设置，因此'default-src‘被用作后备选项。“

Answer 1

添加

style-src 'unsafe-inline' 'self'

或者将内联CSS移动到外部文件。然而，即使存在一些风险，允许内联样式也是非常常见的。