为什么我的CSP策略阻止了eval函数,但移除unsafe-eval又报错?
我在开发动态表单组件时用到了eval执行表达式,CSP报错提示缺少unsafe-eval。尝试在header里加了script-src 'self' 'unsafe-eval',但控制台还是显示:
Content-Security-Policy: script-src 'self' 'unsafe-eval'更奇怪的是,如果完全移除unsafe-eval,页面直接崩溃报Uncaught DOMException: Blocked a frame with origin from evaluating a string as JavaScript because the value of the keyword。我已经检查过第三方库没用eval,这是怎么回事?
- 2
回答
51浏览
CSP 禁用 unsafe-inline 后 Vue 的 click 事件为啥不生效了?
我在项目里加了 Content Security Policy,去掉了 'unsafe-inline',结果页面上所有 @click 绑定的事件都失效了,控制台报错说被 CSP 阻止。但我不明白为啥 ...
- 2
回答
58浏览
CSP策略配置后为什么还是被绕过执行了内联脚本?
在做渗透测试时,给网站加了CSP策略禁止内联脚本,但测试人员用base64编码的dataURI依然能执行恶意脚本,这是怎么回事? 我的CSP配置是这样的:Content-Security-Policy...
- 2
回答
29浏览
CSP 的 hash 值怎么算才对?为什么我加了还是报错?
我在给一个内联脚本加 CSP 的 hash 策略,但浏览器一直报违反策略。我用的是 sha256,命令是 echo -n "alert('hello')" | openssl dgst -sha256...
- 2
回答
43浏览
strict-dynamic 下 Vue 动态组件加载被 CSP 阻止怎么办?
我在项目里启用了 CSP 的 strict-dynamic 策略,结果 Vue 的动态组件渲染直接被浏览器拦了,控制台报“Refused to execute inline script”。明明没写内...
- 2
回答
78浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
- 2
回答
89浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
- 2
回答
52浏览
CSP中的strict-dynamic有什么用?为什么我的动态脚本还是被阻止了?
我在给项目配置CSP时用了'strict-dynamic',但页面加载时动态创建的script标签还是报blocked错误。比如这样: const script = document.createEl...
- 2
回答
85浏览
CSP报显示图片源被阻止但已配置’srcset’还是不行怎么办?
我在开发环境设置了CSP头,但控制台一直报标签的图片被阻止,明明已经在'srcset'里写了self和具体域名,怎么还是不行? 配置是这样的:Content-Security-Policy: img-...
- 1
回答
37浏览
CSP策略生效后内联脚本报错怎么解决?
我在本地测试 Content Security Policy,加了 CSP 头之后页面里的内联 JS 直接被拦截了,控制台报错说“Refused to execute inline script”。但...
- 2
回答
27浏览
CSP 的 script-src 用 hash 为什么还是报错?
我在页面里加了个简单的点击事件,然后根据 Chrome 控制台提示生成了 sha256 hash,但加上 CSP 后还是被拦截,完全搞不懂哪里错了。 我试过用在线工具和 openssl 手动生成 ha...
1. 你看到的报错可能是浏览器缓存导致的,试试强制刷新或者开无痕窗口
2. 有些现代框架会在内部偷偷用eval,比如Vue的runtime在某些情况下会用new Function(),这个也会被CSP拦截
通用的解决方案有这几种:
方案一:如果必须用eval,确保你的CSP头确实生效了。用这个命令检查响应头:
方案二:改用更安全的方式替代eval。比如动态表单可以用Function构造函数:
方案三:检查是否有第三方库的间接调用。在Chrome开发者工具的Sources面板搜索".eval("和"new Function"能找到罪魁祸首。
最后说个坑:某些浏览器插件也会注入脚本触发CSP报错,可以先禁用所有插件测试下。我上次熬夜debug半天最后发现是某个JSON格式化插件在搞鬼,简直想砸键盘...
Content-Security-Policy,并且确认没有 meta 标签或其他中间件注入了更严格的策略。用这个完整 header 测试:
同时确保浏览器没缓存旧策略,清缓存后重试。但强烈建议替换 eval,用 Function 构造函数或 JS 表达式解析器(比如 mathjs)更安全。