Chrome拡張機能のドキュメント「コンテンツセキュリティポリシー(CSP)」を読んでいます。それは言う:
インラインJavaScript、およびevalのような危険な文字列からJavaScriptへのメソッドは実行されません。この制限により、インラインブロックとインラインイベントハンドラーの両方が禁止されます(例
<button onclick="...">
)。..。
インラインJavaScriptの実行に対する制限を緩和するメカニズムはありません。特に、unsafe-inlineを含むスクリプトポリシーを設定しても効果はありません。これは意図的なものです。
インライン<script>
ブロックが安全でないのはなぜですか?誰かがそれを説明できますか?例を挙げていただければ幸いです。
ありがとうございました。