<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 18, 2014 at 8:02 AM, Anne van Kesteren <span dir="ltr"><<a href="mailto:annevk@annevk.nl" target="_blank">annevk@annevk.nl</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Mon, Aug 18, 2014 at 4:57 PM, John Barton <<a href="mailto:johnjbarton@google.com">johnjbarton@google.com</a>> wrote:<br>

> So you are claiming that CSP no longer restricts inline scripts and that the<br>
> various online docs are incorrect?  Or only that the server  set the<br>
> "unsafe-inline" value to opt out of the restriction?<br>
<br>
</div>Neither. See <a href="https://w3c.github.io/webappsec/specs/content-security-policy/" target="_blank">https://w3c.github.io/webappsec/specs/content-security-policy/</a><br>
for the new nonce-source and hash-source features. (Don't read TR/,<br>
it's kind of equivalent to reading the previous version of ES, but<br>
worse.)<br></blockquote><div><br></div><div>Excellent thanks!  Hope those new features are adopted and servers routinely implement the hash-source feature.</div><div><br></div><div>jjb</div></div></div></div>