当前位置: 首页 > news >正文

工信部备案查询网站优化排名金苹果系统

news 2025/7/3 16:39:23
工信部备案查询,网站优化排名金苹果系统,破解网站后台密码有人做吗,做网站工作好么一:错误出现 这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。 二:错误场景 testEval() {const data eval("var sum2 new Function(a, b, return a b); sum2(em…

一:错误出现

这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。

二:错误场景

testEval() {const data = eval("var sum2 = new Function('a', 'b', 'return a + b'); sum2('email', 'eval');");const sum = new Function('a', 'b', 'return a + b');console.log('test eval:', data);}

类似的不安全的表达式还有:

  1. eval()
  2. Function() ——When passing a string literal like to methods like: setTimeout("alert(\"Hello World!\");", 500);
  3. setTimeout()
  4. setInterval()
  5. window.setImmediate
  6. window.execScript() (IE < 11 only)

三,错误原因

因为我的安全策略(CSP)白名单中并不包含‘unsafe-eval’这个选项。所以抛出了异常。

不包含‘unsafe-eval’的理由是eval 实际上是不安全的。 它在每种语言中的意思是“获取这个字符串并执行它的代码”。 也就是说eval本质是将字符串转成表达式并执行。容易遭到注入攻击。

四,错误解决

1尽量避免使用eval方法,大多数情况下,eval方法是可以被避免的。可以使用lint检查项目中是否含有eval方法 no-eval - ESLint - Pluggable JavaScript Linter

上述的代码可以这样更改,代码正常工作

testEval(): string {const sum1: Function = (a: string, b: string) => { return a + b };return sum1('test', 'eval');}

2如果有时候,必须动态生成方法,这部分工作可以放到服务端完成。而不是把‘unsafe-eval’加入到CSP白名单中。

上述代码还可以这样更改,代码正常工作

testEvalSolutionTwo(): Observable<Object> {return this.http.get(this.rootURL + '/test/eval');}

五,CSP的配置补充

CSP可以在三个地方配置

1:拦截器

import { requestInterceptor } from './http/request.intercepter';
@NgModule({.. .. ..providers: [{provide: HTTP_INTERCEPTORS,useClass: requestInterceptor,multi: true}],bootstrap: [AppComponent]
})
export class AppModule { }import { Injectable } from '@angular/core';
import { HttpInterceptor, HttpHandler, HttpRequest, HttpEvent } from '@angular/common/http';
import { Observable } from 'rxjs';@Injectable()
export class requestInterceptor implements HttpInterceptor {constructor() {}intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {req.headers.append('Content-security-policy', `script-src 'self';`);return next.handle(req);}
}

2:html文件

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; child-src 'none';">

3:server端(推荐)

app.use(function (req, res, next) {res.setHeader('Content-security-policy',`script-src 'self';` +`connect-src 'self';`,);next();
});

CSP文档参见:CSP: script-src - HTTP | MDN

http://www.hrbkazy.com/news/3420.html

相关文章:

  • 公司企业网站搭建拉新十大推广app平台
  • 番禺网站制作技术微信营销软件排行榜
  • wordpress仿站header免费推广网站地址大全
  • 网站建设总体需求报告seo搜索引擎优化推广专员
  • 网站内容做淘宝店铺链接影响排名吗sem数据分析
  • mac本地搭建wordpress南昌seo公司
  • 做网站要钱的吗优化seo方法
  • 动画制作软件免费佛山外贸seo
  • 做八年级题目的网站打开网站搜索
  • 上海找工作网站谷歌浏览器下载
  • 没有网站怎么做CPC网络营销的方式包括
  • 公司年会活动方案策划农大南路网络营销推广优化
  • 如何建设数据库搜索网站企业网页设计与推广
  • 微信网站开放哪些平台可以免费发布产品
  • 软文营销网站网站运营方案
  • 怎么推广一个网站百度网站怎么提升排名
  • 电子商务网站建设与管理学习心得网站排名优化公司哪家好
  • 软件定制开发外包搜索引擎优化工作
  • aspnet动态网站开发考试江苏网络推广公司
  • 蒙阴建设局网站沈阳全网推广公司哪家好
  • 做go kegg的在线网站百度的广告
  • 网站收录很高站长工具seo综合查询收费吗
  • 专业做京东网站吗少儿培训
  • 商城 小程序沈阳seo合作
  • 公司网站建站软件seo详细教程
  • 网站屏蔽省份微信软文推广怎么做
  • 在线教育网站建设公司站长之家新网址
  • 云虚拟主机发布wordpressseo经验是什么
  • 新手怎么学做网站深圳优化公司义高粱seo
  • 怎么做网站后期维护网站网络排名优化方法