Как удалить unsafe-inline из политики безопасности контента и использовать данные, отправляемые сервером, для создания H ⇐ Html

[Anonymous]

У меня есть веб-интерфейс, который использует функцию JavaScript для создания html-элементов с использованием данных из атрибута data-*, созданного веб-сервером. Эта функция будет вызвана событием onchange флажка.
Функция java-script и часть для добавления прослушивателя событий находятся внутри внешнего статического java-скрипта. Использование defer add_event_listener будет срабатывать после завершения загрузки страницы.
Мой вопрос: как мне изменить сценарий, чтобы политика безопасности контента с помощью script-src: 'self'; работает без unsafe-inline, чтобы избежать XSS-атак?

Код: Выделить всё

hi
radio-1


radio-2

измените содержимое метатега на content="script-src 'unsafe-inline' 'self'; style-src 'self'" во избежание ошибки:
"Настройки страницы заблокировал выполнение обработчика событий (script-src-attr), поскольку он нарушает следующую директиву: «script-src 'self'»

Код: Выделить всё

function changeData(data) {
var data_display = document.getElementById('data-display');
data_display.innerHTML = '';
p = document.createElement("p");
p.innerText = data;
data_display.appendChild(p);
}
document.querySelectorAll('.radio-1').forEach( (element) => {
element.setAttribute("onchange", "changeData('hi radio')");
});

Я подумываю сгенерировать все эти HTML-элементы на стороне сервера и сделать их скрытыми.
Использую только JavaScript, чтобы сделать их видимыми.
Проблема в том, что я будет от 20 до 30 разных, но похожих элементов div для отображения/скрытия, и это расточительно.
Я надеюсь, что существуют более элегантные решения.


Подробнее здесь: https://stackoverflow.com/questions/793 ... ver-send-d