Можно ли определить заголовок content-security-policy, указав, что он должен доверять встроенным сценариям / стилям, созданным из исходного домена, который уже внесен в белый список?
Например, у меня есть следующий заголовок: Content-Security-Policy: script-src https://www.somesite.com
С этого сайта я загружаю https://www.somesite.com/somescript.js, который, в свою очередь, динамически создает встроенные стили и сценарии без хэша или одноразового номера.
Возможно ли это?