前言:

Cordova不支持内联事件,所以点击事件必须提取到js里面.
以下是从官网摘抄下来,希望对您有所帮助

为了缓解大量潜在的跨站点脚本问题，Chrome的扩展系统已经纳入了内容安全策略（CSP）的一般概念。这引入了一些相当严格的策略，默认情况下将使扩展更加安全，并为您提供了创建和实施管理可由扩展和应用程序加载和执行的内容类型的规则的功能。

一般来说，CSP作为黑客/白名单机制，用于扩展程序加载或执行的资源。为您的扩展定义合理的策略，您可以仔细考虑扩展所需的资源，并要求浏览器确保这些资源是您的扩展程序可以访问的唯一资源。这些策略提供超出您的扩展请求的主机权限的安全性; 它们是一个额外的保护层，而不是替代。

在网络上，这样的策略是通过HTTP头或元素来定义的。在Chrome的扩展系统中，两者都不是一个合适的机制。相反，扩展的策略是通过扩展名的manifest.json文件定义的，如下所示：

{ 
   … 
   “content_security_policy”：“[POLICY STRING GOES HERE]” 
   …
}

有关CSP语法的完整详细信息，请参阅内容安全策略规范以及有关HTML5Rocks的“内容安全策略简介”一文。

默认策略限制

没有定义manifest_version软件包没有默认的内容安全策略。那些选择manifest_version 2，具有默认内容安全策略：

script-src’self’; object-src’self’

此策略通过三种方式限制扩展和应用程序来增加安全性：

(1)评估和相关功能被禁用

以下代码不起作用：

警报（的eval（ “foo.bar.baz”））;

window.setTimeout（“alert（’hi’）”，10）; 
 window.setInterval（“alert（’hi’）”，10）; 
 new Function（“return foo.bar.baz”）;

评估这样的JavaScript字符串是一个常见的XSS攻击向量。相反，你应该编写如下代码：

alert（foo && foo.bar && foo.bar.baz）; 
window.setTimeout（function（）{alert（’hi’）;}，10）; 
window.setInterval（function（）{alert（’hi’）;}，10）; 
function（）{return foo && foo.bar && foo.bar.baz};

(2)内联JavaScript不会被执行

内联JavaScript不会被执行。此限制禁止内嵌块和内联事件处理程序（例如）。

第一个限制通过使您不小心执行恶意第三方提供的脚本来消除大量的跨站点脚本攻击。但是，它需要您将代码写入内容与行为之间的干净分离（您当然应该做到这一点）对吗？一个例子可能使这更清楚。您可能会尝试编写一个浏览器操作的弹出窗口作为单个popup.html包含：

<！doctype html> 
      My Awesome Popup！ 
       function awesome（）{ 
         //做某事真棒！ 
       }
   function totalAwesome（）{
     //做某事真棒！
   }
  函数clickHandler（element）{
     setTimeout（ “awesome（）;getherAwesome（）” ，1000）;
   }
   function main（）{
     //初始化工作在这里。
   }
 </ SCRIPT>

点击awesomeness！

放宽默认策略

(1)内联脚本

直到Chrome 45，没有放宽对执行内联JavaScript的限制的机制。特别是，设置包含’unsafe-inline’的脚本策略将不起作用。

从Chrome 46起，可以通过在策略中指定源代码的base64编码哈希来将内联脚本列入白名单。该散列必须以使用的散列算法（sha256，sha384或sha512）为前缀。有关示例的

以上是Html5中内容安全策略(CSP)的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

H5代码示例：实际应用和教程Apr 25, 2025 am 12:10 AM

H5提供了多种新特性和功能，极大地增强了前端开发的能力。1.多媒体支持：通过和元素嵌入媒体，无需插件。2.画布（Canvas）：使用元素动态渲染2D图形和动画。3.本地存储：通过localStorage和sessionStorage实现数据持久化存储，提升用户体验。

H5和HTML5之间的连接：相似性和差异Apr 24, 2025 am 12:01 AM

H5和HTML5是不同的概念：HTML5是HTML的一个版本，包含新元素和API；H5是基于HTML5的移动应用开发框架。HTML5通过浏览器解析和渲染代码，H5应用则需要容器运行并通过JavaScript与原生代码交互。

H5代码的基础：密钥元素及其目的Apr 23, 2025 am 12:09 AM

HTML5的关键元素包括、、、、、等，用于构建现代网页。1.定义头部内容，2.用于导航链接，3.表示独立文章内容，4.组织页面内容，5.展示侧边栏内容，6.定义页脚，这些元素增强了网页的结构和功能性。

HTML5和H5：了解常见用法Apr 22, 2025 am 12:01 AM

HTML5和H5没有区别，H5是HTML5的简称。1.HTML5是HTML的第五个版本，增强了网页的多媒体和交互功能。2.H5常用于指代基于HTML5的移动网页或应用，适用于各种移动设备。

HTML5：现代网络的基础（H5）Apr 21, 2025 am 12:05 AM

HTML5是超文本标记语言的最新版本，由W3C标准化。HTML5引入了新的语义化标签、多媒体支持和表单增强，提升了网页结构、用户体验和SEO效果。HTML5引入了新的语义化标签，如、、、等，使网页结构更清晰，SEO效果更好。HTML5支持多媒体元素和，无需第三方插件，提升了用户体验和加载速度。HTML5增强了表单功能，引入了新的输入类型如、等，提高了用户体验和表单验证效率。

H5代码：编写清洁有效的HTML5Apr 20, 2025 am 12:06 AM

如何写出干净高效的HTML5代码？答案是通过语义化标签、结构化代码、性能优化和避免常见错误。1.使用语义化标签如、等，提升代码可读性和SEO效果。2.保持代码结构化和可读性，使用适当缩进和注释。3.优化性能，通过减少不必要的标签、使用CDN和压缩代码。4.避免常见错误，如标签未闭合，确保代码有效性。