unsafe-inner
在response header "Content-Security-Policy"中若是 script-src 不支持 ‘unsafe-inner’ 则下列的在jsp/html页面中直接写行内脚本的形式不被允许。
- 禁用在script标签下直接写方法及行内样式 必须通过js脚本的模式引入
- 禁止直接在标签中直接写事件的方式 ,必须在js中添加事件监听
- 禁用在标签内通过style直接添加样式,必须通过css文件引入后通过class指定
行内脚本
行内样式
unsafe-eval