我想使用内容安全策略,使我的Django Web应用程序安全,没有任何不安全的内联代码.虽然很容易将大多数
JavaScript代码移动到外部文件,但我也有一段内联代码,我不知道修复.我正在使用Django,我在Django模板上下文中有一些变量,我想pqww到JavaScript.所以目前我只是将其输出为内联JavaScript.但由于CSP,这不起作用.
<script type="text/javascript">
/* <![CDATA[ */
var documentURL = '{% filter escapejs %}{{ document.get_document_url }}{% endfilter %}';
/* ]]> */
</script>
解决方法
将评论放在答案表格中并添加一点……
最简单的方法是生成具有属性集的标记.我不知道django所以我会把它留在普通的HTML中:
<input type="hidden" id="mything" value="<MY VALUE>">
当我有多个相关的值时,我可能会将它们放入同一个元素中:
<span class="hidden" data-attribute1="<VALUE1>" data-attribute2="<VALUE2>"> <!-- rename 'attributeN' to something meaningful obvIoUsly -->
在任何一种情况下,只需用JS读取值(为了简洁起见使用jquery)
$('#mything').data("attribute1")
或者,如果您需要一个复杂的对象,请将其作为html实体转义数据放入span中:
<span class="hidden" id="data-container"> <your html-escaped JSON> </span>
并在外部文件中读取它:
var myObject = JSON.parse($('#data-container').html());
