我正在尝试为我的Web应用程序启用CSP。我的政策是这样的:
“default-src'self'gap:cdvfile:;”
我正在使用google关闭javascript。但是,如果没有javascript优化,我的js会被阻止,因为:
goog.json.parse使用eval()
如果我使用闭包编译器编译我的代码,则没有问题,因为在预编译中,不使用eval()。 (使用JSON.parse)
我知道,作为解决方法,我可以使用sha256-.....或nonce=....。
还有其他方法,我可以在不使用sha..或nonce..的情况下使用CSP。
答案 0 :(得分:0)
我相信如果您在代码中添加goog.json.USE_NATIVE_JSON = true;,则表示它不会使用eval。