Я создал приложение Angular, которое недавно было проверено на наличие уязвимостей в безопасности, и команда предложила добавить content-security-policy заголовки для предотвращения атак XSS .После добавления этих заголовков мое приложение даже не открывается, просто черная страница с ошибками в консоли.
Uncaught EvalError: Отказался оценивать строку как JavaScript, потому что unsafe-eval недопустимисточник сценария в следующей директиве Content Security Policy: "default-src 'unsafe-inline' .mycompany.me wss: //.mycompany.me ws: //.mycompany.me https://.s3-ap-south-1.amazonaws.com blob: data: https: ".
Добавление unsafe-eval не рекомендуется, так как это подвергает приложение атакам XSS, поэтому значение нельзя добавлять в заголовки CSP.
Я застрял в следующих вопросах:
- Все, что мне нужно добавить в
Content Security Policy, чтобы приложение работало.
Я сомневаюсь, что AppModule даже не загружается и приложение застряло на странице index.html.Так как у меня мало вызовов xhr при загрузке AppComponent, но этого не происходит, когда я проверял вкладку сети в Chrome.Я использую угловой материал.и это моя страница index.html.
Должен ли я также вносить белый список googleapis и cloudflare в заголовки CSP?
Самый важный вопрос, который у меня в голове, и мне очень нужна помощь.
Refused to evaluate a string as JavaScript.
Как отладить строку здесь, которая создает проблемы?Если я могу найти это в своем исходном коде, тогда я могу что-то сделать. Любое предложение будет действительно полезным.Заранее спасибо.