当前位置: 首页 > news >正文

十堰公司做网站利用微博网站做淘客

news 2025/9/17 4:06:25
十堰公司做网站,利用微博网站做淘客,飞鸽crm电销系统,公司门户网站的意义一:错误出现 这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。 二:错误场景 testEval() {const data eval("var sum2 new Function(a, b, return a b); sum2(em…

一:错误出现

这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。

二:错误场景

testEval() {const data = eval("var sum2 = new Function('a', 'b', 'return a + b'); sum2('email', 'eval');");const sum = new Function('a', 'b', 'return a + b');console.log('test eval:', data);}

类似的不安全的表达式还有:

  1. eval()
  2. Function() ——When passing a string literal like to methods like: setTimeout("alert(\"Hello World!\");", 500);
  3. setTimeout()
  4. setInterval()
  5. window.setImmediate
  6. window.execScript() (IE < 11 only)

三,错误原因

因为我的安全策略(CSP)白名单中并不包含‘unsafe-eval’这个选项。所以抛出了异常。

不包含‘unsafe-eval’的理由是eval 实际上是不安全的。 它在每种语言中的意思是“获取这个字符串并执行它的代码”。 也就是说eval本质是将字符串转成表达式并执行。容易遭到注入攻击。

四,错误解决

1尽量避免使用eval方法,大多数情况下,eval方法是可以被避免的。可以使用lint检查项目中是否含有eval方法 no-eval - ESLint - Pluggable JavaScript Linter

上述的代码可以这样更改,代码正常工作

testEval(): string {const sum1: Function = (a: string, b: string) => { return a + b };return sum1('test', 'eval');}

2如果有时候,必须动态生成方法,这部分工作可以放到服务端完成。而不是把‘unsafe-eval’加入到CSP白名单中。

上述代码还可以这样更改,代码正常工作

testEvalSolutionTwo(): Observable<Object> {return this.http.get(this.rootURL + '/test/eval');}

五,CSP的配置补充

CSP可以在三个地方配置

1:拦截器

import { requestInterceptor } from './http/request.intercepter';
@NgModule({.. .. ..providers: [{provide: HTTP_INTERCEPTORS,useClass: requestInterceptor,multi: true}],bootstrap: [AppComponent]
})
export class AppModule { }import { Injectable } from '@angular/core';
import { HttpInterceptor, HttpHandler, HttpRequest, HttpEvent } from '@angular/common/http';
import { Observable } from 'rxjs';@Injectable()
export class requestInterceptor implements HttpInterceptor {constructor() {}intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {req.headers.append('Content-security-policy', `script-src 'self';`);return next.handle(req);}
}

2:html文件

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; child-src 'none';">

3:server端(推荐)

app.use(function (req, res, next) {res.setHeader('Content-security-policy',`script-src 'self';` +`connect-src 'self';`,);next();
});

CSP文档参见:CSP: script-src - HTTP | MDN

http://www.yayakq.cn/news/463365/

相关文章:

  • 深圳网络公司网站长沙装修公司排名榜
  • 网站做优化每天一定要更新抖音短剧推广怎么做
  • 番禺网站建设哪家强百度sem是什么
  • 网站的经费预算网站怎么做搜索引擎优化_
  • 外贸接单网站排名榜做设计的分析图网站有哪些
  • 智能建站系统cms合肥科技网站建设
  • 玉林网站建设培训网站提现功能怎么做
  • 公司网站可以做无形资产么怎么做网站内部链接
  • 网站优化外包服务org域名做商业网站
  • 有那些网站可以做推广重庆做网站 帮助中心
  • 备案网站ip地址wordpress 保留 index.php
  • 怎样免费做网站搜狐快站官网
  • seo网站排名软件威海公司注册
  • 现在开网站做微商赚钱吗公司网站优化哪家好
  • 网站建设订制版合同模板东台做网站找哪家好
  • 长沙河西网站建设常用cms系统
  • 一个公司做2个产品网站怎么做的软件外包产业
  • 企业网站建设ppt模板晋中市科技馆网站建设
  • 物流网站 源码wordpress拼图
  • 跑步机 东莞网站建设投资者网站建设
  • 鄢陵网站建设初中生怎么提升学历
  • 貴阳建设银行网站WordPress主题保存
  • 二手网站开发文档模板西安网站建设小程序开发
  • 中国贸易网站有哪些自适应网站建设多少钱
  • 上蔡专业网站建设网上超市有哪些平台
  • 南京做网站优化河北建设工程信息网联系电话
  • 自助网站建设怎么建设年轻人最喜欢的网页
  • 京东商城网站怎么做的自适应国产cms软件有哪些
  • 网站门户建设流程国内永久免费crm系统网站推荐
  • 网站图片尺寸网站基本模板