csp的本质是白名单,明确告诉浏览器哪些外部资源可以使用
 
请求头:[][x]
Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party.org; child-src https:
 
 
low
 
 
http头信息中的script-src的合法来源发生了变化,说明如下
 
unsafe-inline,允许使用内联资源,如内联< script>元素,javascript:URL,内联事件处理程序(如onclick)和内联< style>元素。必须包括单引号。
nonce-source,仅允许特定的内联脚本块,nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA”
 
现在更加简单了,可以直接输入以下代码
<script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert('qisheng')</script>
 

 

最新文章

  1. T-SQL Recipes之Separating elements
  2. Spring学习系列(三) 通过Java代码装配Bean
  3. react-native win7环境搭建
  4. 【转】MySQL5安装的图解(mysql-5.0.27-win32.zip)
  5. jquery 导航固定的一个实例
  6. 2W/月和1W/月的工作,你会怎么选?
  7. LA 6450 Social Advertising
  8. 修改UISearchBar背景颜色
  9. 【Linux命令】配置ssh远程连接步骤
  10. [笔记]NumPy基础操作
  11. spring的bean是在什么时候实例化的
  12. JAVA面向对象-----内部类的概述
  13. 基于Orangpi Zero和Linux ALSA实现WIFI无线音箱(二)
  14. return的作用
  15. java 解压缩 中文名称问题
  16. map传参上下文赋值的问题
  17. Mysql windows版本的安装
  18. Journal of BitcoinJ 从clone开始
  19. (24)协程---joinall和value
  20. Oracle 增加、修改、删除字段

热门文章

  1. 构建的Web应用界面不够好看?快试试最新的Kendo UI R3 2019
  2. nginx第六天
  3. &#39;EF.Utility.CS.ttinclude&#39; returned a null or empty string.
  4. C# 常用方法—— 32位MD5加密
  5. MySQL的字符集操作命令总结
  6. Kaplan–Meier estimator &amp; Greenwood formula
  7. sh_11_字典的其他操作
  8. USACO2018DEC GOLD
  9. 实验吧(你真的会PHP吗)CTF之代码审计最终版---解析是错的 我的才是对的
  10. 前端学习之三——jquery选择器