设置script-src'self'和frame-src'unsafe-inline'会相互冲突吗？

Question

如果我有一个内容安全策略，看起来像这样：

default-src 'self' 
script-src 'self' 
frame-src 'unsafe-inline' 

而且我有一个网页，在其内部具有一个框架，其中指向一些外部源的框架。此框架将运行与框架中其他所有内容来源相同的脚本。

我真的不明白这些将如何相互作用。我的脚本和框架设置是否会以任何方式相互冲突，或者是否会是frame-src的情况下将允许运行该脚本？

Answer 1

您只能在CSP中的，script-src或style-src指令中设置'unsafe-inline'。它在frame-src或child-src中无效，因为frame-src现已弃用。

加载框架时，您不能对其设置任何CSP限制，因为它将承认主机设置的自己的CSP（如果存在）。