Webpack样式加载器appendChild没有CSP友好

时间:2016-12-26 02:52:16

标签: security webpack content-security-policy webpack-style-loader

内容安全策略(CSP)不喜欢webpack的样式加载器如何使用eval。任何想法如何定制这些工具来协同工作?

1 个答案:

答案 0 :(得分:2)

样式加载器中有一个新的attr选项,允许您向<script>标记添加自定义属性。我用它来添加nonce attr:

{
  loader: 'style-loader',
  options: {
    attrs: {
      nonce: 'devOnly',
    }
  }
}

然后我将此nonce添加到我的CSP策略中,仅用于开发环境(无论如何,您应该使用ExtractTextPlugin进行生产): style-src 'self' 'nonce-devOnly'

相关问题
最新问题