0

我对理解 CSP 还很陌生,也许我只是在这里没有以正确的方式去做。

我为所有不同的策略类型添加了白名单,并且script-src 'self' <urls> unsafe-inline

但是我收到了几份报告Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source

这些都在我的供应商 js 文件中,该文件是我们所有供应商的缩小和混淆的集合。通过npm build使用 Webpack 和 Laravel 混合完成。

当这么多供应商脚本似乎需要它时,我应该如何在我的 CSP 中禁用 eval?

谢谢!

4

1 回答 1

0

'unsafe-eval'如果您想允许使用eval错误提示,则必须添加源。Using'unsafe-inline'允许执行内联脚本和内联事件处理程序。

script-src 'self' <urls> 'unsafe-inline' 'unsafe-eval'

于 2020-06-14T17:26:30.487 回答