我想知道Ext JS 7.7新版本是否解决了CSP标头的漏洞问题。具体来说,我想知道“unsafe-eval”内容安全政策是否已得到纠正
我已经尝试过7.5版本,仍然出现“unsafe-eval”CSP的问题。
不,即使是 7.7 版本也不是严格兼容 CSP。为什么?因为它使用 'eval' 来解析模板字符串。
但是您可以阅读官方 Sencha 声明 - https://docs.sencha.com/extjs/7.7.0/guides/other_resources/use_eval_func.html
参考Sencha Ext Js中eval函数的使用-
Static scans of applications developed with Ext JS framework often report a “high severity” warning on the use of eval function when using 3rd party vulnerability analysis tools (e.g., Veracode, CheckMarx). The reported flaws point to the use of eval() or globalEval() in the Ext JS codebase. The tools typically flag such calls since a malicious user can plague the input data to the function causing unintended behavior. Ext JS versions flagged: 4.x, 5.x, 6.x, 7.xhttps://docs.sencha.com/extjs/7.7.0/guides/other_resources/use_eval_func.html
看起来 Sencha 正在避免谈论这个“问题”,因为没有不安全的 CSP 指令就无法运行 ExtJs(甚至 7.7),而且他们似乎没有任何改变它的意图。 我理解Devendra提到的文本,谈论eval()函数,与CSP unsafe-eval和unsafe-inline相关,但没有告诉它的漏洞历史。
解决方案被认为按原样接受它或转移到另一个框架,这在大多数情况下几乎是不可能的。