我正在实施标题content-security-policy并清理(一大堆)代码。
我在javascript方面的主要观点是jQuery-1.11.3违反了eval政策:
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'
除了不安全的'unsafe-eval'政策之外,还有其他方法吗?在我看来,沿着那条路线走下去,否定了这个标题提供的大部分安全性。正如Devdatta Akhawe指出的那样,防止代码注入并不一定能防止在使用jQuery时使用eval执行代码。
jQuery forum上似乎没有太多关于此内容的内容,以及旧的内容。
当然有人在某个地方必须就这个问题做出决定。
答案 0 :(得分:0)
我必须把它当作一个不,那么。