4

我是负责构建打包 Firefox OS 应用程序的团队的成员。由于 Firefox OS 特权应用程序的 CSP 策略受限,我在应用程序主体中添加了 ng-csp 指令:

<body ng-app="the-app" ng-csp>

Firefox OS 特权应用程序的 CSP 规范是: default-src *; script-src 'self'; object-src 'none'; style-src 'self' 'unsafe-inline'

根据我可以从 Firefox OS 设备获得的日志,Angular 似乎正在调用 eval() 或 Function() 构造函数,并且两者都在 Firefox OS 特权应用程序中被阻止,并且应用程序只是停止渲染。

我想知道这是预期行为、已知问题还是我错误地应用了指令?

有类似问题的人吗?

提前致谢。

角度版本:v1.0.1

错误日志:

05-07 19:31:10.048: ERROR/GeckoConsole(1397): [JavaScript Error: "CSP ERROR: Couldn't parse invalid source 'unsafe-inline'"] 
05-07 19:31:10.048: ERROR/GeckoConsole(1397): [JavaScript Warning: "CSP WARN: Failed to parse unrecognized source 'unsafe-inline'"]

<-- 丢弃的 CSS 标签 --> 

05-07 19:31:13.892: ERROR/GeckoConsole(1397): [JavaScript Error: "Error: call to Function() blocked by CSP" {file: "app://788ceebd-a9b7-4a98-a8b0-1ff248e40f52/scripts/vendor/d10639ae.angular.js" line: 6337}] 
05-07 19:31:13.912: ERROR/GeckoConsole(1397): [JavaScript Warning: "CSP WARN:  Directive eval script base restriction violated" {file: "app://788ceebd-a9b7-4a98-a8b0-1ff248e40f52/scripts/vendor/d10639ae.angular.js" line: 6337 column: 0 source: "call to eval() or related function blocked by CSP"}]
4

1 回答 1

4

我已经设法找出这个问题的原因。显然,如果我尝试在应用程序的 $rootscope 中创建观察程序,即使在 CSP 安全模式(ng-csp)下,Angular 也会调用 Function 构造函数。我已经在 Angular Google Groups 中发了一个帖子,因为这似乎是一个错误。我在 Angular JS 库中进行了修改,并让它在 Firefox OS 设备上运行。该帖子的链接如下:

关联

干杯

于 2013-05-13T14:28:11.160 回答