前言:

Cordova不支持内联事件,所以点击事件必须提取到js里面.
以下是从官网摘抄下来,希望对您有所帮助

為了緩解大量潛在的跨站點腳本問題，Chrome的擴展系統已經納入了內容安全策略（CSP）的一般概念。這引入了一些相當嚴格的策略，預設將使擴充功能更加安全，並為您提供了創建和實施管理可由擴充功能和應用程式載入和執行的內容類型的規則的功能。

一般來說，CSP作為駭客/白名單機制，用於擴充程式載入或執行的資源。為您的擴充功能定義合理的策略，您可以仔細考慮擴充所需的資源，並要求瀏覽器確保這些資源是您的擴充功能可以存取的唯一資源。這些策略提供超出您的擴充請求的主機權限的安全性; 它們是一個額外的保護層，而不是替代。

在網路上，這樣的策略是透過HTTP頭或元素來定義的。在Chrome的擴展系統中，兩者都不是一個合適的機制。相反，擴展的策略是通過擴展名的manifest.json文件定義的，如下所示：

{ 
   … 
   “content_security_policy”：“[POLICY STRING GOES HERE]” 
   …
}

有關CSP語法的完整詳細信息，請參閱內容安全策略規範以及有關HTML5Rocks的“內容安全策略簡介”一文。

預設政策限制

沒有定義manifest_version軟體包沒有預設的內容安全策略。那些選擇manifest_version 2，具有預設內容安全策略：

script-src'self'; object-src'self'

此策略透過三種方式限制擴充功能和應用程式來增加安全性：

(1)評估和相關功能被停用

以下程式碼不起作用：

警報（的eval（ “foo.bar .baz」））;

window.setTimeout（“alert（’hi’）”，10）; 
 window.setInterval（“alert（’hi’）”，10）; 
 new Function（“return foo.bar.baz”）;

評估這樣的JavaScript字串是一個常見的XSS攻擊向量。相反，你應該寫如下程式碼：

alert（foo && foo.bar && foo.bar.baz）; 
window.setTimeout（function（）{alert（’hi’）;}，10）; 
window.setInterval（function（）{alert（’hi’）;}，10）; 
function（）{return foo && foo.bar && foo.bar.baz};

(2)內嵌JavaScript不會被執行

內嵌JavaScript不會被執行。此限制禁止內嵌區塊和內聯事件處理程式（例如）。

第一個限制透過讓您不小心執行惡意第三方提供的腳本來消除大量的跨網站腳本攻擊。但是，它需要您將程式碼寫入內容與行為之間的乾淨分開（您當然應該做到這一點）對嗎？一個例子可能使這件事更清楚。您可能會嘗試編寫一個瀏覽器操作的彈出視窗作為單一popup.html包含：

<！doctype html> 
      My Awesome Popup！ 
       function awesome（）{ 
         //做某事真棒！ 
       }
   function totalAwesome（）{
     //做某事真棒！
   }
  函数clickHandler（element）{
     setTimeout（ “awesome（）;getherAwesome（）” ，1000）;
   }
   function main（）{
     //初始化工作在这里。
   }
 </ SCRIPT>

點擊awesomeness！

放寬預設策略

(1)內聯腳本

直到Chrome 45，沒有放寬對執行內聯JavaScript的限制的機制。特別是，設定包含’unsafe-inline’的腳本策略將無法運作。

從Chrome 46起，可以透過在策略中指定原始程式碼的base64編碼雜湊來將內聯腳本列入白名單。此雜湊必須以使用的雜湊演算法（sha256，sha384或sha512）為前綴。有關範例的

以上是Html5中內容安全策略(CSP)的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

H5：工具，框架和最佳實踐Apr 11, 2025 am 12:11 AM

H5開發需要掌握的工具和框架包括Vue.js、React和Webpack。 1.Vue.js適用於構建用戶界面，支持組件化開發。 2.React通過虛擬DOM優化頁面渲染，適合複雜應用。 3.Webpack用於模塊打包，優化資源加載。

HTML5的遺產：當前了解H5Apr 10, 2025 am 09:28 AM

HTML5hassignificantlytransformedwebdevelopmentbyintroducingsemanticelements,enhancingmultimediasupport,andimprovingperformance.1)ItmadewebsitesmoreaccessibleandSEO-friendlywithsemanticelementslike,,and.2)HTML5introducednativeandtags,eliminatingthenee

H5代碼：可訪問性和語義HTMLApr 09, 2025 am 12:05 AM

H5通過語義化元素和ARIA屬性提升網頁的可訪問性和SEO效果。 1.使用、、等元素組織內容結構，提高SEO。 2.ARIA屬性如aria-label增強可訪問性，輔助技術用戶可順利使用網頁。

H5與HTML5相同嗎？Apr 08, 2025 am 12:16 AM

"h5"和"HTML5"在大多數情況下是相同的，但它們在某些特定場景下可能有不同的含義。 1."HTML5"是W3C定義的標準，包含新標籤和API。 2."h5"通常是HTML5的簡稱，但在移動開發中可能指基於HTML5的框架。理解這些區別有助於在項目中準確使用這些術語。

H5的功能是什麼？Apr 07, 2025 am 12:10 AM

H5，即HTML5，是HTML的第五個版本，它為開發者提供了更強大的工具集，使得創建複雜的網頁應用變得更加簡單。 H5的核心功能包括：1）元素允許在網頁上繪製圖形和動畫；2）語義化標籤如、等，使網頁結構清晰，利於SEO優化；3）新API如GeolocationAPI，支持基於位置的服務；4）跨瀏覽器兼容性需要通過兼容性測試和Polyfill庫來確保。

h5鏈接怎麼做Apr 06, 2025 pm 12:39 PM

如何創建 H5 鏈接？確定鏈接目標：獲取 H5 頁面或應用程序的 URL。創建 HTML 錨點：使用 <a> 標記創建錨點並指定鏈接目標URL。設置鏈接屬性（可選）：根據需要設置 target、title 和 onclick 屬性。添加到網頁：將 HTML 錨點代碼添加到希望鏈接出現的網頁中。

h5兼容問題怎麼解決Apr 06, 2025 pm 12:36 PM

解決 H5 兼容問題的方法包括：使用響應式設計，允許網頁根據屏幕尺寸調整佈局。採用跨瀏覽器測試工具，在發布前測試兼容性。使用 Polyfill，為舊瀏覽器提供對新 API 的支持。遵循 Web 標準，使用有效的代碼和最佳實踐。使用 CSS 預處理器，簡化 CSS 代碼並提高可讀性。優化圖像，減小網頁大小並加快加載速度。啟用 HTTPS，確保網站的安全性。