移除对 CSP 响应头 'unsafe-inline' 的依赖

[PaperStrike]

Issue Checklist

• I am using NexT version 8.0 or later.
• I have already read the relevant documents of Hexo and NexT.
• I have already searched for current issues, which does not help me.

---

Expected behavior

不使用内联样式和内联脚本。

Actual behavior

• Links to demo site with this issue: （此 issue 不需要）
• Links to repository or source code of the blog: （此 issue 不需要）
• Screenshots: （此 issue 不需要）

NexT 生成了一些内联样式和内联脚本，与 CSP 的最佳实践不合。

Steps to reproduce the behavior

（此 issue 不需要）

Other Information

以前的 NexT 仓库有相关 issue 讨论，问题一致，但现在问题在新仓库出现，故再开一个 issue。

[welcome]

Thanks for opening this issue, maintainers will get back to you as soon as possible!

[PaperStrike]

“不使用内联样式” 的说法不太准确，只要保证源文件不使用内联样式、内联样式表就行了。

JS 中利用元素的 JS 属性 style 进行的修改是被允许的（style.cssText 除外，原因与后面一致），只有直接更改 HTML 属性 style 的操作会被禁止（如 setAttribute('style', '')）。在我的搜索中并没有发现 NexT 所使用的 JS 有尝试直接改 HTML 属性的行为，所以将内联样式、内联样式表直接独立为文件就可以做到移除 CSP 的 style-src 中对 unsafe-inline 的依赖。

参见 Violation cases | CSP: style-src - HTTP | MDN

[njzjz]

这个issue不应关闭，还有一堆第三方js没有处理。

[PaperStrike]

有道理

[github-actions]

This thread has been automatically locked since there has not been any recent activity after it was closed. It is possible issue was solved or at least outdated. Feel free to open new for related bugs.