我想使用内容安全策略并使我的 Django Web 应用程序安全无任何不安全的内联代码。但是虽然将大部分 JavaScript 代码移动到外部文件很容易,但我还有一段内联代码我不知道如何修复。我正在使用 Django,我在 Django 模板上下文中有一些变量,我想将它们 pqww 到 JavaScript。所以目前我只是将其输出为内联 JavaScript。但由于 CSP,这不起作用。
<script type="text/javascript">
/* <![CDATA[ */
var documentURL = '{% filter escapejs %}{{ document.get_document_url }}{% endfilter %}';
/* ]]> */
</script>
最佳答案
把评论放到答案的形式,再加一点...
最简单的方法是生成一个带有属性集的标签。我不了解 Django,所以我将其保留在纯 HTML 中:
<input type="hidden" id="mything" value="<MY VALUE>">
当我有多个相关值时,我可能会将它们放入同一个元素中:
<span class="hidden" data-attribute1="<VALUE1>" data-attribute2="<VALUE2>">
<!-- rename 'attributeN' to something meaningful obviously -->
无论哪种情况,只需使用 JS 读取值(为简洁起见,使用 jquery)
$('#mything').data("attribute1")
或者,如果您需要一个复杂的对象,将其作为 html 实体转义数据放入 span 中:
<span class="hidden" id="data-container">
<your html-escaped JSON>
</span>
并在外部文件中读取它:
var myObject = JSON.parse($('#data-container').html());
关于javascript - 如何删除内容安全策略的不安全内联代码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13124907/