我正在使用这种方法来检测带有eval 的 CSP(也用于 AngularJS):
function noUnsafeEval() {
try {
new Function('');
return false;
} catch (err) {
return true;
}
}
但是我手头没有带有 CSP 的服务器来彻底测试它。
可靠吗?代码中new Function('')行的存在会不会导致无法捕获的错误?
err 是什么?那里捕获了哪种错误(Error、TypeError 等)? CSP 错误消息说明了什么?
我在 CSP 中找不到关于运行时错误的文档。
【问题讨论】:
标签: javascript content-security-policy
关于如何检测CSP,还有另一个stackoverflow问题:How to detect Content Security Policy (CSP),它也显示了你的函数。
使用它应该是安全的,因为只要代码到达函数构造函数(即之前没有被其他限制阻塞),你总是会从 noUnsafeEval 获得返回值。
据我所知,如果 CSP 不允许不安全的 eval,它将引发 EvalError (mozilla)。但这可能因浏览器而异。
确定的最佳方法是对此进行测试。您可以使用http://mockbin.org 创建一个 HTTP 端点,该端点返回一个带有正确 CSP 标头和您的函数的页面。我在这里做了一个这样的垃圾箱:http://mockbin.org/bin/cc6029e5-8aac-4a54-8fd1-abf41e17042a。如果你打开它,打开开发控制台并调试代码,你会看到异常:
您还可以在 W3C 建议/草案中找到此信息:CSP 1.1、CSP 2、CSP 3。在 1.1 中,你会得到一个 SecurityError 而不是 EvalError。
【讨论】:
err instanceof SecurityError 有一些线索吗?好像没有SecurityError global。
EvalError/SecurityError。在评估新的 CSP 时,这会产生很多噪音......在仅报告模式下进行测试有什么建议吗?