javascript - 如何让脚本在不破坏 CSP 的情况下使用 setAttribute 'style'-6ren

javascript - 如何让脚本在不破坏 CSP 的情况下使用 setAttribute 'style'

转载作者：行者123 更新时间：2023-11-29 19:03:43

25

4

我正在努力使我的 CSP 政策尽可能严格。我需要在我的包中包含 3d 派对组件。但是它使用了破坏 CSP 的 element.setAttribute('style'...) 方法。有没有办法允许这个特定的脚本以这种方式内联样式？

最佳答案

是的，有办法。

这里对此有很多讨论:https://github.com/w3c/webappsec-csp/issues/212

最后简要总结一下:

CSP is checked at parsing and blocks parsing the style attribute. Any direct operations go through.

使用 setAttribute 调用 HTML 解析器并触发 CSP。

所以，而不是:

.setAttribute("style","background:red"); // needs HTML parsing

你需要:

.style.background = "red"; // direct manipulation

一种方法有效而另一种方法无效听起来可能很奇怪，我认为这里的理解是 HTML 属性和 DOM 属性之间存在细微差别。 https://joji.me/en-us/blog/html-attribute-vs-dom-property/

关于javascript - 如何让脚本在不破坏 CSP 的情况下使用 setAttribute 'style'，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/44608927/

25

4

0

文章推荐： java - 如何将用户提供的数据传递给下一个 Activity

文章推荐： javascript - aws-sdk: NoSuchKey: 指定的 key 不存在？

session - request.setAttribute 和 request.getSession().setAttribute()
request.setAttribute 和 request.getSession().setAttribute() 有什么区别？它们存储在哪里以及以什么格式？最佳答案区别: 当您使用reque
java - session.setAttribute 和 request.setAttribute 有什么区别？
session.setAttribute 和 request.setAttribute 有什么区别？最佳答案范围，session属性住所有的session而request属性只在一个请求中关于j
java - pageContext.getSession().setAttribute() 和 pageContext.setAttribute() 之间的真正区别
我一直热衷于重置我的一个 jsp 页面上的一些验证错误。这是一个我无法再联系到的人(死亡或无法联系)继承的项目。我有一个 jsp 页面，其中包含许多自定义标记库，其中更多页面被添加为选项卡，父页面具有
java - request.get/setAttribute() 与 this.getServletContext().get/setAttribute()
当您从请求和 getServletContext() 调用它们时，get/setAttribute() 之间有什么区别。我注意到你需要 RequestDispatcher rd = request.g
Javascript:setAttribute() 与 setAttribute() 比较element.attribute = 设置 "name"属性的值
所以我正在学习操作 DOM，并且我注意到一件有趣的事情: 假设我想使用“.”设置元素的 name 属性。点符号: element.name = "someName"; console.log(docu
java - Servlets:HttpServletRequest 中的 setAttribute 与 HttpSession 中的 setAttribute
HttpServletRequest类的setAttribute()方法和HttpSession类的setAttribute()方法有什么区别？在什么情况下使用？最佳答案一个在请求范围内设置一个
servlets - 为什么要使用ServletContext.setAttribute()？
为什么我们要使用setAttribute()方法来设置ServletContext参数，因为我们可以通过在web.xml中设置参数并使用getInitParameter()来获取它们来完成相同的工作？
javascript - setAttribute 无法正常工作
我在 setAttribute() 方面遇到问题。我已经搜索过互联网和这个网站，但他们没有解决我的问题。我想用 javascript 更改图片的宽度和高度，但它不起作用。请帮助我。
setAttribute 中的 JavaScript
在学校，我的老师将我的代码更改为下面的示例它不起作用，我无法理解它是如何工作并修复它的。 function _$(e, attrs) { var el = document.createEle
javascript - setAttribute 未更改值
我有三个元素，我正在尝试为每个元素设置属性: const foldable = document.getElementsByClassName('foldable') let result = Arr
javascript - setAttribute 之后无法更新组件
我正在尝试使用 object3D.lookAt 属性更改图像的视角。目前我正在尝试使用组件的 update() 方法更改图像的方向。这是通过更新我的组件的 Lookat 属性来实现的。 functio
javascript - 无法将函数作为值传递给 setAttribute
我有一些有效的 SVG 代码，可以通过在形状上设置属性来处理鼠标事件: function plot() { ... shape.setAttributeNS(null, "onmouseove
javascript setattribute 函数出现问题
我使用的表单会根据您单击单选按钮的选项来显示一些 div。问题是 div 设置为不显示，除非我选择一个选项。所以我添加了以下函数，以确保如果显示 div，它将具有具有所需属性的形式。所以我给出这
javascript - setAttribute 不起作用
此代码嵌套在 ascx 控件中。 onclientclick 事件有效并且没有错误，但标签文本没有更改？我错过了什么？
javascript - setAttribute() 不工作
同样，我在使用 setAttribute 时遵循我的引用书和在线引用:它根本不起作用； HTML:
javascript - setAttribute 不是函数
这是一些 HTML: lorem Lorem, ipsum dolor sit amet consectetur adipisicing elit. Eaque magnam expedit
javascript - setAttribute 的替代品
我一直在以不同的方式创建元素，但不确定最佳方法。有什么区别: var myselect = document.createElement("select"); myselect.name="blah"
JavaScript:setAttribute 函数失败
这里我稍微修改了代码 https://www.w3schools.com/jsref/tryit.asp?filename=tryjsref_doc_getelementsbyname_loop 来自
另一个元素上的 JavaScript setAttribute
我在为另一个元素设置属性时遇到问题。我正在使用带有 JS 和 HTML 的 PHP 代码，它看起来像: $value 你一定知道我有两个元素。我用于编写文本的第一个('content')和另一个('
javascript - 在选定的选项上使用 setAttribute
我是 Javascript 的新手，我不知道如何在选定的选项上使用 setAttribute。我的 html 中有一个 id = employee 的 select 元素(使用 javascript

首页

博学

6Ren·AI

商城

javascript - 如何让脚本在不破坏 CSP 的情况下使用 setAttribute 'style'