jQuery-1.11.3 违反了 CSP 评估政策。有修复或解决方法吗?
jQuery-1.11.3 violates CSP eval policy. Is there a fix or workaround?
我正在实施 header content-security-policy 并边做边清理(堆积如山的)代码。
我在 javascript 方面的主要症结在于 jQuery-1.11.3 违反了评估政策:
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'
除了不安全的 'unsafe-eval' 策略之外,还有其他解决方法吗?在我看来,走这条路会否定 header 提供的大部分安全性。正如 Devdatta Akhawe 指出的那样,防止代码注入不一定能防止在使用 jQuery 时使用 eval 来执行代码。
jQuery forum 上似乎没有太多关于此的内容,而有的是 old.
肯定有人在某个地方必须就这个问题做出决定。
那我就只能当做不了。
我正在实施 header content-security-policy 并边做边清理(堆积如山的)代码。
我在 javascript 方面的主要症结在于 jQuery-1.11.3 违反了评估政策:
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'
除了不安全的 'unsafe-eval' 策略之外,还有其他解决方法吗?在我看来,走这条路会否定 header 提供的大部分安全性。正如 Devdatta Akhawe 指出的那样,防止代码注入不一定能防止在使用 jQuery 时使用 eval 来执行代码。
jQuery forum 上似乎没有太多关于此的内容,而有的是 old.
肯定有人在某个地方必须就这个问题做出决定。
那我就只能当做不了。