我正在努力解决以下问题。我对在Jhipster应用程序中提供带有角度4的CSP策略有安全要求,它们是:没有不安全评估的script-src'self'和没有'frame'的祖先。
我要在Spring安全配置中添加标题:
http.headers().contentSecurityPolicy("frame-ancestors 'none'; script-src 'self'");
在生产版本时,我在浏览器控制台中遇到以下错误:
未捕获的EvalError:拒绝将字符串评估为JavaScript,因为 以下内容不允许'unsafe-eval'脚本源 内容安全策略指令:“ script-src'self'”。
我知道该应用程序想要eval()一些js代码,并且在没有unsafe-eval的情况下允许它不起作用,但是是否有任何选择以webpack来构建prod应用程序以使其起作用?