本页列出了使用nonce比不安全内联更可取的样式,但如果除了style-src之外的所有内容都使用"default-src 'self'",使用nonce有什么好处吗?
您引用的链接中基于nonce的方法只是一个示例,显然您应该对样式和脚本使用基于nonce的方法。
这个方法叫做strict CSP使用nonce的好处是,您不需要将所有域名列入白名单。例如,检查twitter.com的CSP政策,它是巨大的!
Google docs的CSP是这样的,一个非常小的策略:
Content-Security-Policy:
base-uri 'self';
object-src 'none';
report-uri https://docs.google.com/document/cspreport;
script-src 'report-sample' 'nonce-Y7j7Ul3bnFVzbgVJ0-Tb7a' 'unsafe-inline' 'strict-dynamic' https: http: 'unsafe-eval';
worker-src 'self' blob: