Ошибка получения политики безопасности содержимого при включенном хэше

Question

У меня есть проблема, хотя я включил (как вы можете видеть) хэш для встроенного стиля = "height: 18px" (атрибут), я все еще получаю ошибку csp (страницы в ghostjs)

Refused to apply inline style because it violates the following Content 
Security Policy directive: "style-src 'self' maxcdn.bootstrapcdn.com 
fonts.googleapis.com https://intercom.help/_assets 
'sha256-HKIQe1rxf7BKTQyeVymEQz4wG30GqXPn7nokufiyhRk='". 
Either the 'unsafe-inline' keyword, a hash
('sha256-HKIQe1rxf7BKTQyeVymEQz4wG30GqXPn7nokufiyhRk='), or a nonce ('nonce-...') is
required to enable inline execution.

Answer 1

Хэши белого списка политики безопасности содержимого не работают для атрибутов встроенного стиля, а только для встроенных стилей.Может быть, в CSP 3.0 добавит эту функциональность

Работает для

<style>
body { colod: red; }
</style>

Но НЕ работает для

<body style="color:red;">
</body>