Question

Google开始突然抛出此消息：

"Content Security Policy of your site blocks the use of 'eval' in JavaScript"

我没有配置任何策略，因此要进行测试，我尝试将CSP设置为（在HTML和web.config中）：

<add name="Content-Security-Policy" value="default-src *; style-src 'self' 'unsafe-inline'; 
    script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js.squareup.com/; report-uri /csp_report_parser;" />

我在报告中什么都没得到，谷歌也不会告诉我消息来源：

如何找到有问题的代码？

谢谢！

Answer 1

将'report-sample'令牌添加到script-src指令。它应该发送引起违规的代码示例-40个字符，还将发送行号（如我所见，您确实使用了违规报告功能）。
在浏览器控制台中，您可以看到发生违规的功能名称（绿色箭头）和行号（下面的打印屏幕上的蓝色箭头）。 report-sample的结果用红色下划线标出：
您可以使用javascript捕获SecurityPolicyViolation event-可以访问违规报告中要发送的所有内容，包括行号/列号。

Google开始突然抛出此消息：

它不可能是蓝色的。可能是软件升级后激活了默认的CSP规则，或者您触摸了设置。

无论如何，您的CSP script-src 'self' 'unsafe-inline' 'unsafe-eval'都允许eval表达式，因此您在某个地方发布了另一个CSP。

如何找到导致CSP错误的脚本？

1 个答案: