[electron]预脚本不显示内联script

script-src 'self'Content Security Policy (CSP) 中的一个指令,它的作用是限制加载和执行 JavaScript 脚本的来源。

具体来说:

  • 'self' 表示 当前源。也就是说,只有来自当前网站或者当前页面所在域名的 JavaScript 脚本才被允许执行。
  • "当前源" 指的是与你加载 HTML 文件的协议(如 httphttps)、域名和端口号相同的资源。

例子:

假设你的网站域名是 https://example.com,那么 script-src 'self' 会允许你加载和执行来自以下地址的 JavaScript 脚本:

  • https://example.com/script.js
  • https://example.com/js/app.js

但是,它将阻止加载和执行来自其他来源的脚本,例如:

  • https://someotherdomain.com/script.js
  • http://example.com/script.js(如果页面是 https 协议的话,http 协议的脚本会被拒绝)

为什么使用 script-src 'self'

script-src 'self' 是一种安全措施,它限制了只允许从相同域名加载脚本,这可以有效防止恶意的跨站脚本攻击(XSS),因为攻击者无法通过第三方脚本来注入恶意代码。




electron官方的例子是写到了这个变量, 所以无法使用内联script标签, 把他删掉就行

相关推荐
CappuccinoRose12 分钟前
CSS、Less、Sass(含 SCSS)、Stylus
前端·css·less·sass·stylus
不听话坏9 小时前
Ignition篇(下 一) 动态执行前的事情
开发语言·前端·javascript
likeyi079 小时前
require 和 import的区别
开发语言·前端
pany10 小时前
做 AI 友好的开源 Vue3 模板 🌈
前端·vue.js·ai编程
小二·10 小时前
React 19 + Next.js 15 现代前端开发实战:App Router / Server Components / 流式渲染
前端·javascript·react.js
谙忆102411 小时前
前端图片直传对象存储:OSS/S3 预签名 URL、STS 临时凭证与回调校验
前端
CHNE_TAO_EMSM12 小时前
Android studio 打开文件时自动下载源码
前端·javascript·android studio
一孤程13 小时前
Airtest自动化测试第五篇:小程序与Web测试——跨平台自动化全覆盖
前端·自动化测试·小程序·自动化·测试·airtest
IT_陈寒13 小时前
SpringBoot自动配置不是你以为的那样的智能
前端·人工智能·后端
yume_sibai14 小时前
大屏数据可视化 - 边框红绿呼吸灯实现详解
前端·信息可视化·typescript