Javascript CSP块

Question

我对元数据库很陌生。我已经下载了元数据库源代码，并将其托管在Ubuntu16.04LTS server.When中，我使用"lein server“命令启动元数据库服务器，得到"java.awt.HeadlessException”。我在github问题中只读到了一些可以忽略它的地方。前端是由“纱线运行生成热”命令构建的。当从浏览器访问前端时，我会得到以下错误

拒绝加载脚本'http://locahost:8080/app/dist/vendor.hot.bundle.js?222bfa78ab06d868cbf4‘，因为它违反了以下内容安全策略指令：" script -src’不安全-内联‘’不安全-eval 'self‘https://maps.google.com https://apis.google.com https://www.google-analytics.com .googleapis.com *.gstatic.com localhost:8080“。 拒绝加载脚本'http://locahost:8080/app/dist/app-main.hot.bundle.js?222bfa78ab06d868cbf4‘，因为它违反了以下内容安全策略指令：" script -src’不安全-内联‘’不安全-eval 'self‘https://maps.google.com https://apis.google.com https://www.google-analytics.com .googleapis.com *.gstatic.com localhost:8080“。

Answer 1

这似乎是CSP的问题。你可以用

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

<meta http-equiv="Content-Security-Policy" content="default-src 'self'  https://www.google.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com; style-src 'unsafe-inline' 'self' https://www.google.com; connect-src 'self' https://api.gole.in;img-src 'self' https://www.google.co.in/ads/ga-audiences; font-src 'self' data: https://fonts.gstatic.com;">

如何允许eval()?

我相信很多人都会说你没有，因为“衰老是邪恶的”，也是世界末日即将来临的最有可能的原因。那些人是错的。当然，您肯定可以使用eval在站点的安全性上打大洞，但它有非常有效的用例。你只需要聪明地使用它。你允许这样做：

content="script-src 'unsafe-eval'"

参考链接：https://content-security-policy.com/