我使用Webflow工具来设置我的网站。我导出代码以将其托管在我的服务器上。
我已经设置了Content-Security-Policy标头。
问题:大多数样式都是内联的。我不能添加所有的哈希值,有太多了…
把不安全的内联放在style-src上是不是很危险?
请注意,这是一个99.9%的静态站点(只是一个联系表单)。
谢谢你的帮助!
这里讨论了style-src中'unsafe-inline'的危险:https://scotthelme.co.uk/can-you-get-pwned-with-css/
如果你能限制你的CSP的其余部分,危险将是有限的,但总会有人不同意。如果技术上可能,您可以使用nonce,因为您可以对所有标记使用相同的nonce,但在每次页面加载时更改它。似乎您不想或不能将所有CSS提取到一个单独的文件中,这当然是最简单的解决方案。