CSP浏览器策略+ Zopim小部件(+下划线)
过去几天,我一直在努力添加适当的Meteor CSP软件包,浏览器政策。到目前为止,我遵循了这些资源:
- https://dweldon.silvrback.com/browser-policy
- https://themeteorchef.com/snippets/using-the-browser-policy-package/
一开始事情有点粗糙,但我们接近一些事情,最后一块拼图是现场聊天Zopim的小部件不是我们新政策的粉丝。我尝试将白名单列入白名单,并将zopim的小部件代码放入Meteor.startup调用某个地方但由于某些unsafe-eval导致仍然无法加载,如下所示。
由于我不想放松更多我的政策,是否有任何解决方法或者我应该忘记Zopim并尝试其他一些工具(我很高兴听到关于你是否有任何建议。)
加分:此外,我首先使用BrowserPolicy.content.disallowEval();制定了我的政策,但MDG的underscore套餐开始下降,我不得不允许它。允许评估显然不理想,我很高兴听到任何其他选择。
1 个答案:
答案 0 :(得分:1)
您正在点击我帖子中“问题”部分的第一个要点。您必须决定禁止 "Content-type" : "application/json"
对您的重要性是否比特定的第三方脚本更重要。在我们的例子中,我们在外部脚本被修改时允许eval几天(幸运的是创建者同意了更改)。发送电子邮件并解释您认为他们的脚本对您的网站构成风险因为您无法启用严格的内容安全策略,这绝不会让您感到痛苦。
我们目前设置eval并且没有遇到任何问题。我发现很难相信核心软件包会违反该指令。也许其他一些软件包正在引起它,但如果没有详细分析你的依赖关系,很难说。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?