'unsafe-inline' 反应 - JavaScript

当使用 Content Security Policy（CSP）来增强网站安全性时，其中一个常见的指令是 script-src。这个指令规定浏览器只能从哪些来源加载脚本。其中包含一个值为 'unsafe-inline' 的关键字，它允许行内脚本执行。

行内脚本（inline scripts）是直接写在 HTML 中的 JavaScript 代码。下面是一个例子：

<!DOCTYPE html>
<html>
 <head>
  <title>Example</title>

  <script type="text/javascript">
   function sayHello() {
     alert('Hello, world!');
   }
  </script>

 </head>
 <body>
  <button onclick="sayHello()">Click me</button>
 </body>
</html>

使用 'unsafe-inline' 的好处很明显，可以方便地将 JavaScript 代码嵌入 HTML，使开发变得更加便捷。但与此同时，这也有可能成为被黑客攻击的入口。

使用行内脚本存在一些安全风险，如 XSS 攻击和代码注入攻击等。考虑到这些风险，最好避免使用 'unsafe-inline'。

如果必须使用行内脚本，请尽量将 JavaScript 代码分离到外部文件中，并使用 nonce 或 hash 等机制，从而将风险降至最低。例如：

<!DOCTYPE html>
<html>
 <head>
  <title>Example</title>

  <script src="external.js" nonce="c2VydmVyIGhvc3Q="></script>

 </head>
 <body>
  <button onclick="sayHello()">Click me</button>
 </body>
</html>

以上代码将外部文件 external.js 加载到页面中，并声明了一个 nonce 值，能够保证只有拥有相应的 nonce 值的脚本能够被执行。

总之，避免使用 unsafe-inline 是保障网站安全性的重要一步。