1
Я реализую заголовок content-security-policy и очищаю (гору) код, когда я иду.jQuery-1.11.3 нарушает политику политики CSP. Есть ли исправление или обход?
Мой главный камень преткновения на яваскрипта стороне вещей является то, что JQuery-1.11.3 нарушает Eval политику:
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'
Есть ли способ обойти эту проблему, кроме небезопасного 'unsafe-eval' политики? Мне кажется, что спуск по этому пути отрицает значительную часть безопасности, которую предоставляет этот заголовок. Как указывает Devdatta Akhawe, защита от инъекции кода не обязательно защищает от использования eval для выполнения кода при использовании jQuery.
На фото jQuery forum не так много, и что есть старый.
Несомненно, кто-то где-то должен был принимать решения по этой проблеме.