В настоящее время я экспериментирую с внедрением Политики безопасности контента для моего приложения, созданного с использованием Angular 5. В настоящее время я внедряю CSP с помощью тега meta в моем index.html, хотя я изменю это в будущем,Я вставил в свое приложение следующее
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; img-src 'self' data:;media-src 'self'; object-src 'self' data: 'unsafe-eval'; style-src 'self' https://fonts.googleapis.com 'unsafe-inline';">
Это в значительной степени покрывает мои потребности, однако при развертывании на тестовом сервере консоль браузера выдает мне следующее сообщение:
UncaughtEvalError: Отказался оценивать строку как JavaScript, поскольку «unsafe-eval» не является допустимым источником сценария в следующей директиве политики безопасности содержимого: «script-src 'self'".
Okay,поэтому мне нужно добавить 'unsafe-eval' в директиву script-src.Это на самом деле не проблема, но, похоже, меня беспокоит, что eval () - это зло!
Для приложений Angular 5, которые хотят использовать CSP, необходимо включить 'unsafe-eval' в script-src директива?Есть ли способ сохранить функцию безопасности, предотвращающую использование eval()?Нужно ли включать это, поскольку Angular использует eval().Я предполагаю, что содержимое мета-тега Content-Security-Policy правильное, хотя я уверен, что это может быть не так.
Я читал этот выпуск на угловом github https://github.com/angular/angular/issues/19142, но яЯ не уверен, что эта проблема актуальна для меня, так как я не использую SystemJS, но веб-пакет в моем приложении?
Большое спасибо за советы, помощь и ответы.