<div dir="ltr">Out of curiosity: wouldn&#39;t an injected script in the page enabled via sha-nounce as the only one executable be enough, if CSP support is available?</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 7, 2016 at 10:35 AM, Michael Catanzaro <span dir="ltr">&lt;<a href="mailto:mcatanzaro@igalia.com" target="_blank">mcatanzaro@igalia.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, 2016-10-07 at 09:25 +0200, Carlos Garcia Campos wrote:<br>
</span><span class="">&gt; That&#39;s a very good point, we&#39;ll check if that&#39;s possible, or wer&#39;ll<br>
&gt; try<br>
&gt; to make it possible otherwise. <br>
<br>
</span>Wow, I never considered this.<br>
<br>
Took a quick look at Epiphany. Guess how many Epiphany features<br>
implemented in JS break when you use the hidden disable JS setting.<br>
(Four.)<br>
<span class="HOEnZb"><font color="#888888"><br>
Michael<br>
</font></span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
webkit-gtk mailing list<br>
<a href="mailto:webkit-gtk@lists.webkit.org">webkit-gtk@lists.webkit.org</a><br>
<a href="https://lists.webkit.org/mailman/listinfo/webkit-gtk" rel="noreferrer" target="_blank">https://lists.webkit.org/<wbr>mailman/listinfo/webkit-gtk</a><br>
</div></div></blockquote></div><br></div>