script-src 'unsafe-inline' 'unsafe-eval' 'self'; object-src 'none'; base-uri 'self';