我試圖通過設(shè)置 Content-Security-Policy 標(biāo)頭來減輕 XSS 攻擊，但 Chrome 不斷拋出錯誤：拒絕執(zhí)行內(nèi)聯(lián)事件處理程序，因為它違反了以下內(nèi)容安全策略指令：“script-src 'self' 'nonce-Njg3MGUxNzkyMjViNDZkN2I3YTM3MDAzY2M0MjUxZGEzZmFhNDU0OGZjNDExMWU5OTVmMmMwMTg4NTAQ3ZmY.” 啟用內(nèi)聯(lián)執(zhí)行需要“unsafe-inline”關(guān)鍵字、哈希（“sha256-...”）或隨機數(shù)（“nonce-...”）。我嘗試設(shè)置 nonce，<script nonce="Njg3MGUxNzkyMjViNDZkN2I3YTM3MDAzY2M0MjUxZGEzZmFhNDU0OGZjNDExMWU5OTVmMmMwMTg4NTA3ZmY4OQ==" href="main.js"></script>但它不起作用。這是我的Content-Security-Policy標(biāo)題：default-src 'none'; script-src 'self' 'nonce-NjJjN2E5YjA0ZDJhNDlhZjlhMDFmZjQzMjE4YzhmMTAzOWNjZjVjMGZjNDIxMWU5YWIyNGMwMTg4NTA3ZmY4OQ=='; connect-src 'self' https://vimeo.com; img-src 'self'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com;我不喜歡設(shè)置script-srcas unsafe-inline，因為它使 Content-Security-Policy 無效