Как внедрить встроенные стили атрибутов в элемент без style-src «unsafe-inline» в политике безопасности контента? ⇐ CSS

[Anonymous]

Я работаю над веб-приложением, в котором у меня есть сторонний скрипт, который динамически внедряет встроенные стили непосредственно в элементы HTML. Я столкнулся с проблемой политики безопасности контента (CSP), связанной с директивой style-src 'unsafe-inline'.
Вот упрощенный пример того, чего я пытаюсь достичь:
Пример HTML-элемента, добавленного сторонним скриптом:

Код: Выделить всё

Hello, world!

Пример сценария стилизации из стороннего сценария:

Код: Выделить всё

document.getElementById('myElement').style.color = 'blue';
document.getElementById('myElement').style.fontSize = '20px';

Мой текущий CSP выглядит так:

Код: Выделить всё

default-src 'self'; script-src 'self' https://cdn.example.min.js; style-src 'self' https://cdn.example.min.js;

Я понимаю, что использование unsafe-inline для style-src может создать угрозу безопасности, но кажется необходимым.
Мои вопросы:< /p>

• Каковы потенциальные последствия для безопасности использования style-src 'unsafe-inline' в моем CSP и как я могу снизить эти риски?
• Существуют ли альтернативные методы динамического внедрения встроенных стилей без ущерба для безопасности?
• Если style-src 'unsafe-inline' является единственным жизнеспособным вариантом, какие рекомендации мне следует использовать? следовать, чтобы минимизировать уязвимости?

Будем очень признательны за любые идеи или рекомендации. Спасибо!
Я уже пробовал значения nonce, но это не работает, поскольку, похоже, оно не работает с динамически добавляемыми элементами.

Подробнее здесь: https://stackoverflow.com/questions/786 ... src-unsafe