“Content-Security-Policy”头缺失或不安全

appscan安全漏洞扫描“Content-Security-Policy”头缺失或不安全
后端ngix配置Content-Security-Policy头（自行百度ngix Content-Security-Policy配置）
如果前端页面空白无法加载必须设置scrpt-src unsafe-inline但是扫描通不过，自查是否有内联script，类似这种

<script>
function(){
var a=1;
xxxxxxx;
}()
</script>

把他改成外联的

<script src="./xx.xx"></script>

或者后端ngix Content-Security-Policy头的 scrpt-src 加一个'nonce-xxabcd'

scrpt-src 'self' 'nonce-xxabcd'

然后前端的内嵌js加一个onece="xxabcd"如

<script nonce="xx">
function(){
var a=1;
xxxxxxx;
}()
</script>