Проблемы заголовка CSP с eval ()

Question

Я занимаюсь разработкой сайта, который все еще является локальным.Я установил этот пакет, чтобы добавить правильный CSP на мой сайт (который я создал с помощью Laravel & VueJs).

Я решил их один за другим.Но теперь в моей консоли Chrome я больше не вижу ошибок CSP.Это показывает только пустую страницу.Я открыл сайт в Firefox.Там, в консоли, я столкнулся со следующей ошибкой:

Политика безопасности контента: Настройки страницы заблокировали загрузку ресурса в self («script-src»).Источник: вызов eval () или связанной функции, заблокированной CSP.

Я искал сгенерированные пакеты для функции eval(), но она не появляется ни в одном из файлов.У кого-нибудь здесь есть какие-то предложения для меня, как решить эту проблему?

Answer 1

Как вы обнаружили в комментариях, это происходит из неявного eval, используемого какой-то другой функцией (например, setTimeout или setInterval, вызываемой со строкой).К сожалению, вы не можете разрешить unsafe-eval только для одного скрипта.Таким образом, вы, вероятно, в конечном итоге разрешите использование unsafe-eval на своем сайте.На самом деле это очень часто встречается в заголовках CSP, которые я видел.

Заголовки CSP очень черно-белые, как это.Часто ваш выбор - либо разрешить что-либо полностью, либо полностью заблокировать.Я разрабатывал другое решение на Enchanted Security , которое может проверять вызовы важных функций браузера (прежде всего, сетевых запросов), чтобы (1) отслеживать их для будущего автономного анализа и аудита и (2) блокировать ихсчитает небезопасным.