Vue 3 CSP - EvalError:拒绝将字符串计算为JavaScript

Question

我正在开发一个使用Vue 3和Node/Express的web应用程序。在为构建的前端代码提供服务时，我得到以下错误：

EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed 
source of script in the following Content Security Policy directive: "script-src 'self'".

    at new Function (<anonymous>)
    ...etc

此问题似乎仅在页面重新加载时发生--当首次加载页面时，不会出现错误。

当我在线查看这个问题时，我只能找到Vue 2引用CSP问题的Vue文档，而不是Vue 3。有人知道这个问题的解决方案吗？如果必要的话，在我的CSP头中添加“不安全-eval”是一种选择，但是我想知道是否有更安全的选择？

当然，从快递服务器中删除helmet.js使用也可以解决这个问题，但这只是因为它删除了它添加的CSP头。我想找出一种避免不安全的方法

Answer 1

重写违规代码是可能的(只要您可以轻松地修改该代码)。请参阅https://learn.microsoft.com/en-us/microsoft-edge/extensions-chromium/store-policies/csp的"Eval及相关函数禁用“一节。