我試圖通過設置 Content-Security-Policy 標頭來減輕 XSS 攻擊，但 Chrome 不斷拋出錯誤：拒絕執行內聯事件處理程序，因為它違反了以下內容安全策略指令：“script-src 'self' 'nonce-Njg3MGUxNzkyMjViNDZkN2I3YTM3MDAzY2M0MjUxZGEzZmFhNDU0OGZjNDExMWU5OTVmMmMwMTg4NTAQ3ZmY.” 啟用內聯執行需要“unsafe-inline”關鍵字、哈希（“sha256-...”）或隨機數（“nonce-...”）。我嘗試設置 nonce，<script nonce="Njg3MGUxNzkyMjViNDZkN2I3YTM3MDAzY2M0MjUxZGEzZmFhNDU0OGZjNDExMWU5OTVmMmMwMTg4NTA3ZmY4OQ==" href="main.js"></script>但它不起作用。這是我的Content-Security-Policy標題：default-src 'none'; script-src 'self' 'nonce-NjJjN2E5YjA0ZDJhNDlhZjlhMDFmZjQzMjE4YzhmMTAzOWNjZjVjMGZjNDIxMWU5YWIyNGMwMTg4NTA3ZmY4OQ=='; connect-src 'self' https://vimeo.com; img-src 'self'; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; font-src 'self' https://fonts.gstatic.com; media-src 'self' http://player.vimeo.com; frame-src 'self' http://player.vimeo.com;我不喜歡設置script-srcas unsafe-inline，因為它使 Content-Security-Policy 無效