Uncaught EvalError: Refused to evaluate a string as

通过Function构造 函数,创建一个功能函数,代码如下:

function defineGetter(prop, data) {
    return Object.defineProperty(this, prop, {
        get: new Function(`return ${JSON.stringify(data)};`)
    });
}

报如下错误:

tools.ts:239 Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self' 'unsafe-inline'".

一、问题分析

1. 内容安全策略 (Content Security Policy,CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击。

CSP 的主要目标是减少跨站脚本(Cross-Site Scripting XSS) 的攻击 。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。即使有的时候这些脚本并非来自于它本该来的地方,由于浏览器信任其内容来源,使得恶意脚本在受害者的浏览器中得以运行。

2. 配置内容安全策略

一个策略由一系列策略指令所组成,每个策略指令都描述了一个特定资源类型以及生效范围(信任的来源)
元素可以用来配置该策略(Http响应头也可以配置)


content属性的内容格式:多个资源类型用英文分号分隔,类型和来源、多个来源之间用空格分隔,来源加英文单引号,如下所示
资源类型A ‘来源1’ ‘来源2’ … ; 资源类型A ‘来源1’ ’来源2’…

3.内容安全策略指令

default-src,当没有显示的为资源配置生效范围,默认使用default-src的值作为生效范围。

例如,没有配置script-src,其默认值就是self

script-src,表示资源类型为脚本文件(以下取值表示不同的来源)

  • self 表示允许脚本来源于当前网站(当前域名,例如:https://www.abc.com/,脚本文件路径的前缀和所在的html文件一致)
  • unsafe-inline 表示允许脚本来源于 标签对
  • unsafe-eval 表示允许脚本来源于字符串

还有样式等各种各样的资源,在文章不是重点,感兴趣可以通过“资源类型”查看

The ‘unsafe-eval’ source expression controls several script execution methods that create code from strings. If ‘unsafe-eval’ isn’t specified with the script-src directive, the following methods are blocked and won’t have any effect:【 'unsafe-eval’控制几个从字符串创建脚本代码的方法。如果’unsafe-eval’没有在script-src指令中指定,以下方法将被阻塞,并且不会产生任何影响:】

eval()
Function()
       When passing a string literal like to methods like: window.setTimeout(“alert(“Hello World!”);”, 500);
setTimeout()
setInterval()
window.setImmediate
window.execScript() Non-Standard (IE < 11 only)

二、解决方法

简单来说,eval()、Function()等函数会从字符串中“解析”脚本代码,必须在内容安全策略中添加信任字符串来源的脚本的策略指令,该来源的脚本才可以正常运行。



如果是在开发谷歌插件可以配置manifest.json里的content_security_policy属性,添加策略的规则相同。

如果是在使用eval()函数,或者Function()函数,大概率你是随意打开了一个网页,F12进入了控制台。但是,别人的网站为了安全,不允许字符串来源的脚本。我尝试修改别人的网页,在head元素中添加meta元素,配置内容安全策略,无效。这也是可以理解的,如果可以通过在别人的网页中添加meta元素,配置策略,那就可以随意攻击别人的网站了。自己创建一个html网页,练习eval()函数、Function() 函数的使用。

另外,也许报错是"because ‘unsafe-inline’ is not an allowed source",那么只需要把unsafe-inline添加到策略指令script-src中即可

你可能感兴趣的:(Uncaught EvalError: Refused to evaluate a string as)