我可以使用 jQuery 全局 eval 而不是 eval 来逃避内容安全策略吗
Can I use jQuery global eval intsead of eval to escape from content security policy
我使用了 eval,但通过应用 CSP 禁止它。但我正在寻找替代品。
我找到函数 jQuery.globaleval()。
jQuery.readyException = function( error ) {
window.setTimeout( function() {
throw error;
});
};
抛出:
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' http://localhost:6060/WCUSTODY/ http://localhost:6060/application/scripts
那么,我们是否可以使用全局 eval 作为 eval 的替代方案,也应该被 CSP(内容安全策略)接受。
jQuery.globaleval() 与使用普通 JavaScript eval() 的行为不同,因为它是在全局上下文中执行的。例如
function test() {
jQuery.globalEval( "var newVar = true;" );
}
test();
名为newVar的变量在全局范围内。它可以通过您的应用程序的脚本访问。
您可以在 CSP 中使用 eval() 而不使用 jQuery.globaleval(),方法是将不安全评估设置为允许的来源。
类似这样:
<meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-eval'">
如果您不想使用 eval,则可以使用 new Function()。根据最佳实践,您应该避免 eval() 和 new Function()
我使用了 eval,但通过应用 CSP 禁止它。但我正在寻找替代品。
我找到函数 jQuery.globaleval()。
jQuery.readyException = function( error ) {
window.setTimeout( function() {
throw error;
});
};
抛出:
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' http://localhost:6060/WCUSTODY/ http://localhost:6060/application/scripts
那么,我们是否可以使用全局 eval 作为 eval 的替代方案,也应该被 CSP(内容安全策略)接受。
jQuery.globaleval() 与使用普通 JavaScript eval() 的行为不同,因为它是在全局上下文中执行的。例如
function test() {
jQuery.globalEval( "var newVar = true;" );
}
test();
名为newVar的变量在全局范围内。它可以通过您的应用程序的脚本访问。
您可以在 CSP 中使用 eval() 而不使用 jQuery.globaleval(),方法是将不安全评估设置为允许的来源。
类似这样:
<meta http-equiv="Content-Security-Policy" content="script-src 'unsafe-eval'">
如果您不想使用 eval,则可以使用 new Function()。根据最佳实践,您应该避免 eval() 和 new Function()