当服务器启用内容安全策略（Content Security Policy）时，无法直接通过书签脚本（bookmarklet）向页面注入脚本。这是因为内容安全策略是一种安全机制，限制了页面中可以执行的脚本来源和类型，以防止跨站脚本攻击。

要解决这个问题，可以通过将脚本代码嵌入到书签脚本中，并将脚本代码的 URL 设置为书签脚本的 URL。具体步骤如下：

1. 复制下面的书签脚本代码：

javascript:(function(){
})();

2. 在空行处粘贴你想要注入的脚本代码，例如 jQuery 的源代码。你可以从 https://code.jquery.com/jquery-3.4.1.min.js 获取 jQuery 的源代码。

3. 将整个脚本作为书签脚本的 URL。这样，当你点击该书签时，脚本代码将被注入到当前页面中。

请注意，由于内容安全策略的限制，不能直接通过书签脚本注入外部脚本文件，因此需要将脚本代码直接嵌入到书签脚本中。

CSP（内容安全策略）是一种用于防止跨站点脚本攻击（XSS）的安全机制。然而，有时候我们需要在启用了CSP的服务器上注入脚本到页面中，这就需要解决如何绕过CSP的问题。

根据规范（至少我认为规范仍然是这样），CSP不应该阻止书签脚本（bookmarklets），但是目前没有任何浏览器实现了这一功能。因此，我们的唯一选择是在浏览器中禁用CSP或使用浏览器扩展。

当我遇到类似问题时，我在一个回答中找到了解决方法。那么，在浏览器中如何禁用CSP呢？你们有什么推荐的扩展程序吗？谢谢。

很抱歉，我不知道有没有可以推荐的扩展程序，但是我知道在扩展程序中修改响应头是相当容易的。例如，"caspr enforcer"是一个Chrome扩展程序，它可以覆盖（但不移除）CSP。你也可以运行一个代理服务器来剥离响应头。

要在启用了CSP的服务器上注入脚本到页面中，我们可以禁用浏览器中的CSP或使用特定扩展程序来绕过CSP。具体来说，可以使用"caspr enforcer"这个Chrome扩展程序，或者运行一个代理服务器来剥离响应头。

如何在启用服务器上的内容安全策略的情况下，通过书签脚本将脚本注入到页面中？

问题的出现原因：

当服务器启用内容安全策略（Content Security Policy，CSP）时，注入脚本到页面中变得困难。内容安全策略是一种安全机制，用于限制在页面中执行的脚本和其他资源的来源。它可以防止跨站点脚本攻击（XSS）和其他安全漏洞。

解决方法：

一种解决方法是使用自包含的书签脚本（bookmarklet）。书签脚本是一种简单的浏览器书签，其中包含可执行的JavaScript代码。通过将脚本作为书签的URL保存，用户可以在任何页面上执行该脚本。

下面是一个使用jQuery 3.3.1的书签脚本示例：

javascript:(function(){
  var script = document.createElement('script');
  script.src = 'https://code.jquery.com/jquery-3.3.1.min.js';
  document.head.appendChild(script);
})();

要使用这个脚本，只需将代码复制到一个新的书签中，然后将URL设置为上述代码。然后，当在页面上点击该书签时，它将在页面的头部动态创建一个script元素，并将jQuery库的URL设置为其src属性。这将导致浏览器下载并执行jQuery库。

请注意，这只是一个示例，你可以根据自己的需求修改脚本。此外，确保在使用书签脚本时遵循安全最佳实践，以防止恶意脚本的注入。

当内容安全策略启用时，注入脚本到页面中变得困难。使用自包含的书签脚本是一种绕过内容安全策略的方法。通过在书签的URL中包含可执行的JavaScript代码，用户可以在页面上执行该脚本。上述示例展示了如何使用书签脚本将jQuery库注入到页面中。记住要遵循安全最佳实践，以防止恶意脚本的注入。