在chrome中,一切都按照假设运行 - 工作程序由script-src策略加载,并由sandbox.js使用它自己的CSP处理。但是在Firefox中,情况有所不同 - 看起来它并不关心sandbox.js的child-src,frame-src或CSP-header(worker的代码);
所以我的CSP标题就是这样:
default-src 'self';
和sandbox.js的标题是
default-src 'none'; script-src 'unsafe-eval' 'unsafe-inline';
由于某些原因我做的时候
new Worker('/sandbox.js')
它说
Content Security Policy: Page parametrs blocked resource download in self("default-src 'self'").
Call to eval() or related function blocked by CSP.
Error: call to eval() blocked by CSP
有没有办法在firework的webworker中允许不安全eval?我只需要那些用于我的模板并在沙盒中运行它是个好主意,imho。