如何解决如何找到导致CSP错误的脚本?
Google开始突然抛出此消息:
"Content Security Policy of your site blocks the use of 'eval' in JavaScript"
我没有配置任何策略,因此要进行测试,我尝试将CSP设置为(在HTML和web.config中):
<add name="Content-Security-Policy" value="default-src *; style-src 'self' 'unsafe-inline';
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js.squareup.com/; report-uri /csp_report_parser;" />
我在报告中什么都没得到,谷歌也不会告诉我消息来源:
如何找到有问题的代码?
谢谢!
解决方法
-
将'report-sample'令牌添加到script-src指令。它应该发送引起违规的代码示例-40个字符,还将发送行号(如我所见,您确实使用了违规报告功能)。
-
在浏览器控制台中,您可以看到发生违规的功能名称(绿色箭头)和行号(下面的打印屏幕上的蓝色箭头)。
report-sample的结果用红色下划线标出:
-
您可以使用javascript捕获SecurityPolicyViolation event-可以访问违规报告中要发送的所有内容,包括行号/列号。
Google开始突然抛出此消息:
它不可能是蓝色的。可能是软件升级后激活了默认的CSP规则,或者您触摸了设置。
无论如何,您的CSP script-src 'self' 'unsafe-inline' 'unsafe-eval'都允许eval表达式,因此您在某个地方发布了另一个CSP。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
