Ich versuche, CSP für meine Webanwendung zu aktivieren. Meine Richtlinie ist etwas wie:Inhaltssicherheitsrichtlinie mit Google-Abschluss
"default-src 'selbst' Lücke: cdvfile :;"
Ich benutze Google Closure für Javascript. Allerdings ohne Javascript-Optimierung wird mein js blockiert wegen:
goog.json.parse verwendet eval()
Wenn ich meinen Code mit Verschluss-Compiler kompilieren, gibt es kein Problem, da im Voraus zusammenstellen , eval() wird nicht verwendet. (JSON.parse wird verwendet)
Ich weiß, als Workaround kann ich sha256-.....
oder nonce=....
verwenden.
Gibt es einen anderen Weg, ich kann CSP ohne sha..
oder nonce..
verwenden.
Ich möchte diese Methode versuchen. Aber ich bin mir nicht sicher, wo ich das hinzufügen soll. Könnten Sie mir bitte mitteilen, wo ich das hinzufügen soll? Goog.json.USE_NATIVE_JSON = true; '? – Procrastinator