JavaScriptのみをはじきたかった。
インラインCSSは許可したい。
これだとインラインCSSもはじかれてしまう。
header("Content-Security-Policy: default-src 'self';");
すべてのフェッチディレクティブは default-src で代替されます。
script-src ディレクティブにのみ指定をする。
header("Content-Security-Policy: script-src 'self';");
script-src ディレクティブは、 JavaScript の情報なソースを指定します。