将 CSP 与使用 unsafe-eval 的库结合使用
问题描述 投票:0回答:1
我正在尝试在我的 Angular 项目中实现 CSP。我的 CSP 如下;
script-src 'self' 'nonce-anything';
style-src 'self' 'nonce-anything' https://fonts.googleapis.com;
font-src 'self' https://fonts.gstatic.com;
upgrade-insecure-requests;
block-all-mixed-content;
我正在使用的库之一(json-logic-engine)正在使用 eval 函数,这就是为什么我不能让它在没有“unsafe-eval”的情况下运行。我认为脚本上的随机数属性将允许评估,但根据我最近的研究,它只允许不安全内联 - 而不是不安全评估。
有什么方法可以在不使用“unsafe-eval”的情况下修复它吗?
1个回答
0
投票
投票
因为 eval 实际上是不安全的。 Eval 在每种语言中的意思是“获取这个字符串并执行它的代码”。当然,您可能以半安全的方式使用 eval,但只要您完全允许,您就是在说“任何人都可以在给定入口点的情况下在我的应用程序中执行任意代码”。
因为这一点,你只有三个选择:基本上用一些安全选项(即不是所有情况)替换这个 eval 调用,对其进行预处理,并使用“unsafe-inline”。
您可以在这篇 web.dev 文章中看到更好的内容:web.dev csp eval
最新问题
- .remove() 不是函数。为什么nodejs不识别我的方法?
- 如何在 Rust 中强制泛型参数为 u8、u16、u32 或 u64 类型?
- 为什么 request.remoteAddr() 返回 ipv6 而不是 ipv4?
- 读取 JSON 文件
- 让每个控制器记录 request.getRemoteAddr() 和 request.getRequestURI()
- Python/Tkinter:动态扩展字体大小以填充框架
- 在Wpf中,如何在运行时修改DataTemplate?
- 配置元数据中提供的颁发者与请求的颁发者不匹配,在 DockerCompose 中使用 Keycloak 和 Springboot
- 使用命令行打印特定的 PDF 页面
- 可中断操作的 API 动词
- .NET 中的 Win32 QueueUserAPC API 替代方案
- 当数据集中有零时填写 NA
- 使用异步声明端点(并返回任务<IHttpActionResult>)与不使用异步声明之间的区别
- 需要帮助来统计数字,对不同的合约进行匹配并解决小数问题
- c++中如何编译不同目录下的文件?
- 如何输入像 pydantic 和 dataclass 这样的动态类实例化?
- 是否可以在四开本网站上进行全局交叉引用?
- 在 Linux 中,哪个选项更快:发布/解锁信号量/互斥体或创建新线程?
- HttpClient 发布异步表单 URL 编码且字符串内容不起作用
- 在Java中映射来自不同流结果集(不同数据库结果)的DTO对象的所有字段
© www.soinside.com 2019 - 2024. All rights reserved.