【发布时间】:2020-06-10 00:51:12
【问题描述】:
我对理解 CSP 还很陌生,也许我只是在这里没有以正确的方式去做。
我为所有不同的策略类型和script-src 'self' <urls> unsafe-inline添加了白名单
但是我收到了几份关于Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source的报告
这些都在我的供应商 js 文件中,该文件是我们所有供应商的缩小和混淆集合。通过 npm build 使用 Webpack 和 Laravel 组合完成。
当这么多供应商脚本似乎需要它时,我应该如何在我的 CSP 中禁用 eval?
谢谢!
【问题讨论】:
-
unsafe-inline必须是'unsafe-inline',带单引号。
标签: javascript http-headers eval content-security-policy