内容安全策略允许内联样式不带不安全内联

Question

使用内容安全策略而不带style-src“不安全内联”如何允许这样的样式？

<span style="font-size: 16px;">Hello</span>

我已经尝试添加一个随机数给他们，并补充说，现时的CSP头但这似乎并没有工作

<span style="font-size: 16px;" nonce="0611873de7e2db5985c289fdfa946caee2ae1860">Hello</span>

"style-src 'nonce-0611873de7e2db5985c289fdfa946caee2ae1860' 'self'"

有没有办法做到这一点，而不添加'unsafe-inline'指令？

Answer 1

根据https://bugzilla.mozilla.org/show_bug.cgi?id=855326#c35随机数的样式属性不支持

Answer 2

针对此问题的常见解决方法是编写内嵌式（或内联脚本）的数据输入标签：

<input id="my-font-size" type="hidden" value="16" /> 

或在HTML5：

<input id="my-id" data-font-size="16" /> 

和处理经由外部包含的JavaScript的数据（以避免违反 “脚本-SRC” CSP）：

$('span').css('font-size', $('#my-id').data('font-size'));