Lieber Christian,

Content-Security-Policy-Headern

ja, da war ich neulich auch mit unterwegs.

Gegeben sei folgendes Inline-Script, dass ich in einem onload notiere:

Wer strenge CSP-Settings nutzen möchte, muss jeglichen JS-Code in eine extern zu ladende Script-Datei stecken. Sonst blockt der Browser. Und das sollte ja auch keine übergroße Anstrengung sein, mal eben dynamisch das Element zu ermitteln, um dann damit genau das zu tun, was man vorher mit einem Eventhandler zu erreichen suchte...

Ob Deine Lösung mit einem Hash "besser" gewesen wäre, vermag ich nicht zu beurteilen, aber wenn ich via CSP irgendein onload blocken will, dann eben alle und ohne Ausnahme!

Liebe Grüße,

Felix Riesterer.