设置script-src 'self‘和frame-src 'unsafe-inline’会相互冲突吗？

Question

如果我有一个如下所示的content-security-policy：

default-src 'self'
script-src 'self'
frame-src 'unsafe-inline'

我有一个网页，里面有一个框架，其中的框架指向一些外部来源。此框架运行的脚本与框架中的其他所有内容都来自相同的来源。

我真的不明白它们是如何相互作用的。我的脚本和框架设置是否会以任何方式相互冲突，或者框架资源将被允许运行该脚本？

Answer 1

您只能在CSP的default-src、script-src或style-src指令中设置'unsafe-inline'。它在frame-src或child-src中无效，因为frame-src现在已弃用。

当加载框架时，你不能对它设置任何CSP限制，因为它将遵守主机设置的自己的CSP。