关闭Google内容安全政策
问题描述:
我正在尝试为我的Web应用程序启用CSP。我的策略是这样的:关闭Google内容安全政策
“default-src'self'gap:cdvfile :;”
我使用谷歌关闭了JavaScript的。但是没有JavaScript的优化,我的JS被*,因为:
goog.json.parse使用eval()
如果我编译我与封闭的编译器代码,有是事先编译没有问题,不使用eval()。 (使用JSON.parse)
我知道,作为解决方法,我可以使用sha256-.....
或nonce=....
。
是否有任何其他的方式,我可以使用CSP不使用sha..
或nonce..
。
答
我相信如果你添加goog.json.USE_NATIVE_JSON = true;
到您的代码,它不会使用eval
。
我想尝试这种方法。但是,不知道在哪里添加这个。你能不能让我知道,我应该在哪里添加'goog.json.USE_NATIVE_JSON = true;'? – Procrastinator