script-src 'self' 是 Content Security Policy (CSP) 中的一个指令，它的作用是限制加载和执行 JavaScript 脚本的来源。

具体来说：

• 'self' 表示 当前源。也就是说，只有来自当前网站或者当前页面所在域名的 JavaScript 脚本才被允许执行。
• "当前源" 指的是与你加载 HTML 文件的协议（如 http 或 https）、域名和端口号相同的资源。

例子：

假设你的网站域名是 https://example.com，那么 script-src 'self' 会允许你加载和执行来自以下地址的 JavaScript 脚本：

• https://example.com/script.js
• https://example.com/js/app.js

但是，它将阻止加载和执行来自其他来源的脚本，例如：

• https://someotherdomain.com/script.js
• http://example.com/script.js（如果页面是 https 协议的话，http 协议的脚本会被拒绝）

为什么使用 script-src 'self'？

script-src 'self' 是一种安全措施，它限制了只允许从相同域名加载脚本，这可以有效防止恶意的跨站脚本攻击（XSS），因为攻击者无法通过第三方脚本来注入恶意代码。

---

---

---

electron官方的例子是写到了这个变量, 所以无法使用内联script标签, 把他删掉就行