即使在添加了“unsafe-eval”之后,对function()的调用也被CSP阻止
我正在处理一个NodeJS项目,我正在使用csp(内容安全策略)。
我正在使用一个外部插件fullcalendar,它被csp阻止,会出现以下错误:
错误:对Function()的调用被CSP阻止
我使用script-src'self''unsafe-eval';重写它,但在Firefox中不起作用。在其他浏览器中,它工作得很好。
我在这个问题上被困了4小时。
如果能得到解决办法将会很有帮助。
我在CSP限制中使用以下格式。
X-content-security-policy:default-src*;script-src“self”“unsafe-eval”;object-src“none”;style-src'self''unsafe-inline img-src*;options eval-script;
x-webkit-csp:default-src*;script-src“self”“unsafe-eval”;object-src“none”;style-src“self”“unsafe-内联img-src*;
content-security-policy:default-src*;script-src“self”“unsafe-eval”;object-src“none”;style-src“self”“unsafe-内联img-src*;
共有2个答案
假设this.disp包含要求值的表达式。还有disp:document.getElementById(“id_of_text_input_field”)。为。this.disp.value=123/45*67+8-9%10。它还会关心否定否。为。-123+3=-120。耶!
compute: function compute() {
var sign = 1;
if (this.disp.value[0] == '-') sign = -1;
this.disp.value = this.calculate(this.disp.value,sign);
this.update(this.disp.value.length);
return this.disp.value;
},
calculate: function calculate(input,sign){
var opr_list = { add : '+'
, sub : '-'
, div : '/'
, mlt : '*'
, mod : '%'
};
opr_list.opr = [[ [opr_list.mlt] , [opr_list.div] , [opr_list.mod]],
[ [opr_list.add] , [opr_list.sub] ]];
input = input.replace(/[^0-9%^*\/()\-+.]/g,'');
var output,n;
for(var i=0, n=opr_list.opr.length; i<n; i++ ){
var re = new RegExp('(\\d+\\.?\\d*)([\\'+opr_list.opr[i].join('\\')+'])(\\d+\\.?\\d*)');
re.lastIndex = 0;
while( re.test(input) ){
output = this.compute_result(opr_list,sign*RegExp.$1,RegExp.$2,RegExp.$3);
if (isNaN(output) || !isFinite(output)) return output;
input = input.replace(re,output);
}
}
return output;
},
compute_result: function compute_result(opr_list,a,op,b){
a=a*1; b=b*1;
switch(op){
case opr_list.add: return a+b; break;
case opr_list.sub: return a-b; break;
case opr_list.div: return a/b; break;
case opr_list.mlt: return a*b; break;
case opr_list.mod: return a%b; break;
default: null;
}
}
您可以根据需要添加更多的运算符和事例。为。方块、x^y等。
我在网上找到的最简单的方法。在index.html文件中嵌入元标记:
<meta http-equiv="Content-Security-Policy"
content="
default-src *
style-src * 'unsafe-inline'
script-src *
img-src * data:
'unsafe-eval'
" />
这将允许从其他源或平台呈现和使用图元文件,如图像、JavaScript、CSS。
-
我有一个SpringBoot控制器,如下所示
-
我尝试在命令行提示符下执行代码以读取java中的.xlsx文件。我在类路径中添加了以下JAR:Poi-2.1.4、Poi ooxml、Poi ooxml模式、xmlbeans、commons集合、curvesapi、stax api、dom4j.JAR 但我还是得到了如下所述的错误:线程“main”java.lang.NoclassDefFoundError中的异常:org/Apache/xmlb
-
问题内容: 我有一个包含10个元素的div,这些元素将被逐个更新,延迟时间为2秒。下面是相同的代码 但是,当我运行它时,所有元素都会一起更新。该程序只是添加一个延迟添加一个开始,并且所有元素都一起更新(被标记)。如何制作代码来逐一标记元素? 问题答案: 您正在打破React的两个基本规则: 不要直接改变状态 如果根据现有状态更新状态,请使用回调形式,因为状态更新可能是异步的(无论如何,在您的示例中
-
在下面的代码中,我单击Submit按钮。在backing\u home中,通过ajax调用将布尔值更改为true。 如果我删除渲染的,我会正确地看到更新的输出。但是对于下面的代码,它是。我认为它没有呈现新值 可能是什么原因?
-
我已经添加特色图像到我的帖子一段时间回来,但安装插件后(我想)设置特色图像元框从管理选项卡中的编辑或添加新帖子页面消失。我已经重新安装了wordpress,但我不能把那个特色的图像框拿回来。 我还在我的主题函数中添加了对它的支持。php: