Java Server Faces和内容安全策略？

我想对基于JSF 2.1的Web项目使用“ 内容安全策略”，因为我认为它可以显着提高对XSS攻击的防护。

由于CSP的默认行为是阻止所有内联JavaScript，因此它基本上破坏了JSF

功能。这是因为当使用上述结构时，JSF会生成许多内联JavaScript代码。

有谁知道，如果有一种方法可以在JSF使用CSP基础的项目，其使用的F：AJAX，而不需要让JS在线使用下列CSP指令：

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'

我知道可以将所有JavaScript手动放置在单独的文件中，但是这样做将被迫手动完成所有Ajax的工作。