使内联JS配置对象CSP兼容(CSP级别1)

Question

我的web应用程序(JS部分)需要在加载之前由服务器进行配置。目前，这项工作以下列方式进行：

<script>
var configObj = {
setting1: "blah",
setting2: {val1: 1, val2:2},
};
</script>
<script src="myapp.js">

配置是特定于请求的，并在生成html响应时由服务器内联。它运行良好，但违反了unsafe-inline内容-安全策略规则。

不幸的是，我们不能仅仅依赖CSP级别2(散列/非can)，我们现在被困在第1级。是否有以符合CSP的方式配置客户端应用程序的已证明/推荐的方法？

到目前为止，我正在考虑将它作为字符串嵌入到一些DOM元素中，然后将其作为JSON.parsing。还有其他(更好的)选择吗？

Answer 1

• 您可以将所有配置选项移到data-*属性中，然后在脚本中读取它们。
• 如果您担心非‘re的兼容性，您可能会发现这篇文章很有趣。