【tips】unsafe-eval线上页面突然空白

原创 于 2025-08-18 15:48:48 发布 · 171 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript

EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ ‘unsafe-inline’”.

导致页面无法展示。

CSP (Content Security Policy) 错误
违反了内容安全策略中的 unsafe-eval 限制。

原因是最近后端在做安全方面的修改。看了下接口返回的Content Security Policy:
default-src ‘self’; script-src ‘self’ ‘unsafe-inline’; style-src ‘self’ ‘unsafe-inline’; img-src ‘self’ data: https://xxxxxxx(我的域名); font-src ‘self’; object-src ‘none’; frame-ancestors ‘self’; form-action ‘self’; base-uri ‘self’; upgrade-insecure-requests;

nginx配置修改后Content Security Policy的
script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’

恢复正常

还有一个未经验证的方法,因为我的代码里面有一段Echarts的代码

    areaStyle: {
            color: new Function('return ' + `{
            type: 'linear',
            x: 0,
            y: 0,
            x2: 0,
            y2: 1,
            colorStops: [{
                offset: 0,
                color: 'rgba(23,119,255,0.3)' // 渐变起始颜色
            }, {
                offset: 1,
                color: 'rgba(23,119,255,0.05)' // 渐变结束颜色
            }]
        }`)()
        },

这里用了new Function 违反了一开始报错的csp,nginx配置不改的话,可以试下修改js

Dorcas_FE
关注
2024年网络安全最新【HTTP完全注解】XSS攻击?内容安全策略会出手的,行业寒冬
05-12 696
当其他用户浏览评论时,浏览器会执行评论中的JavaScript代码。这个恶意脚本会窃取用户的Cookie数据,并将它发送到攻击者的服务器,攻击者可以在服务器上分析这些Cookie数据,可能用于进一步的攻击,如身份盗窃或会话劫持。是不是很恐怖,当然聪明的朋友可能会说:“那我做好用户输入、客户端渲染的数据校验不就可以了吗?确实,,但不能完全依赖它来确保安全,因为XSS攻击可以非常隐蔽和复杂,比如下面这个例子:有一个在线论坛网站用于用户发表和浏览帖子。
EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval‘ is not an allowed source
你若盛开,清风自来
03-07 1501
错误通常是由于在CSP策略中未允许,而代码中使用了eval()或类似功能。避免使用eval():尽量使用其他安全的替代方法,如Function构造函数、模板字符串或DOM操作。配置CSP:在CSP策略中添加,但需谨慎使用,避免引入安全风险。使用安全的替代方案:确保传递给Function构造函数的参数是安全的。更新和测试插件:确保浏览器插件和扩展的CSP配置正确。通过这些方法,开发者可以提高代码的健壮性,减少运行时错误,提升应用的稳定性和用户体验。建议开发者定期检查和测试代码,确保所有引用都正确无误。
Angular安全专辑之二——‘unsafe-eval’不是以下内容安全策略中允许的脚本源
KenkoTech的博客
08-17 2190
不包含‘unsafe-eval’的理由是eval 实际上是不安全的。它在每种语言中的意思是“获取这个字符串并执行它的代码”。这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。尽量避免使用eval方法,大多数情况下,eval方法是可以被避免的。而不是把‘unsafe-eval’加入到CSP白名单中。因为我的安全策略(CSP)白名单中并不包含‘unsafe-eval’这个选项。上述的代码可以这样更改,代码正常工作。
CHROME扩展笔记之拒绝unsafe-eval求值
热门推荐
slongzhang的博客
03-18 1万+
开发插件选项页时由于引用了vue框架开发前端页面,导致拒绝eval求值问题 Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ blob: filesystem:”. 这是浏览器自
electorn+vue3项目启动后报错unsafe-eval,如何去除提醒
Mr__proto__的博客
02-22 2172
【代码】electorn+vue3项目启动后报错unsafe-eval,如何去除提醒。
vue报错Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed...
qq_41391095的博客
03-14 4483
electron 使用sequelize报错Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.把html中meta标签,增加’unsafe-eval
Electron 控制台 Policy set or a policy with “unsafe-eval“ enabled. 警告
码农No.7
07-10 1630
Electron Security Warning (Insecure Content-Security-Policy) This renderer process has either no Content Security
Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allow
只会div的博客
04-26 1万+
问题 在Electron 中使用react+ webpack创建项目,运行Electron后,控制台报错: Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.
【chrome扩展开发】vue3 引用 vue-i18n 报错 Refused to evaluate a string as JavaScript because ‘unsafe-eval
VsXiXi的博客
01-31 1509
【代码】【chrome扩展开发】引用 vue-i18n 报错 Refused to evaluate a string as JavaScript because ‘unsafe-eval
Content Security Policy directive: “script-src ‘self‘ ‘unsafe-eval‘“
albb58的博客
04-29 1万+
谷歌插件开发 Note that 'script-src-elem' was not explicitly set, so 'script-src' is used as a fallback.
phantom-eval:使用 PhantomJS 评估 URL 上的代码
06-25
var phantomEval = require ( 'phantom-eval' ) phantomEval ( 'http://localhost:8000' , function ( ) { // Run this in webkit return window . location . href } , function ( err , results ) { /...
2025年Unsafe-Java永远的“神”(二).zip
06-25
标题“2025年Unsafe-Java永远的‘神’(二).zip”表明这是一个关于Java语言中Unsafe类的讨论,并且这个讨论是系列文章的第二部分。Unsafe类是Java中的一个特殊类,它提供了绕过Java安全模型的一些操作能力,常用于...
codeql-javascript-unsafe-jquery-plugin
03-26
您的课程“ CodeQL不安全JQuery”的GitHub存储库 欢迎参加本课程! 对于课程的每个步骤,此项目中都会创建一个新的问题,并为您提供说明。 根据这些说明,您可以通过在此存储库中编写和提交CodeQL查询来完成每个步骤...
从0开始的中后台管理系统-7(项目完结主题切换)
A6516565189的博客
08-17 181
本文介绍了前端项目实现主题切换功能的完整方案。首先在状态管理(resso)中设置isDark变量并实现持久化存储,通过Switch组件切换时动态修改HTML的class。CSS中使用CSS变量(--dark-color等)实现样式切换,同时通过ConfigProvider配置antd组件的主题算法(theme.darkAlgorithm/defaultAlgorithm)来实现组件库的主题适配。方案包含HTML元素样式切换、CSS变量应用和antd组件主题配置三个关键部分,最终实现了包括基础元素和UI组件在
Started TttttApplication in 0.257 seconds (没有 Web 依赖导致 JVM 正常退出)
舒一笑的博客
08-17 856
【摘要】Spring Boot应用启动后立即退出的问题分析:日志显示应用成功启动但无Web容器运行痕迹,主线程结束后JVM退出(exit code 0)。根本原因是项目缺少spring-boot-starter-web依赖,导致未启动内嵌服务器。解决方案:1)添加Web依赖构建HTTP服务;2)非Web应用可通过CommandLineRunner维持运行或显式阻塞主线程。该现象属于预期行为而非异常,选择对应方案后问题解决(附成功运行截图)。
前端Element-plus的选择器 el-select 清空内容时,后端对应的更新方式,支持更新为null
BillKu的博客
08-18 96
后端处理:spring boot + mybatis。
JavaScript基础语法three
最新发布
2301_79744908的博客
08-18 105
数组名.push(新增的内容),追加到数组末尾,返回数组新长度。数组名.pop(),删除数组最后一个元素,并返回该元素的值。数组名.unshift(新增的内容),追加到数组开头。数组名.splice(操作的下标,删除的个数)for(变量起始值;数组名.shift(),删除数组第一个元素。数组:是一种可以按顺序保存数据的数据类型。修改:数组[下标]=新值。综合案例:生成数据柱状图。案例:打印九九乘法表。
HTML 框架:构建网页布局的基石
froginwe11的博客
08-16 392
HTML 框架是一种网页布局技术,它允许开发者将网页划分为多个区域,并对这些区域进行精细的控制。通过使用框架,可以轻松实现网页的标题、导航栏、页脚等部分的布局,提高网页的可用性和用户体验。HTML 框架是网页设计中不可或缺的一部分,它为网页布局提供了强大的支持。通过了解 HTML 框架的种类、应用以及如何使用它们,开发者可以创建更加美观、易用的网页。
面试题:react如何实现keep-alive功能
m0_47999208的博客
08-18 258
场景推荐方案优势非路由组件(如标签)父组件状态缓存简单直观,无需额外依赖路由组件(简单需求)React Router + 自定义缓存容器灵活控制缓存逻辑,无第三方依赖路由组件(复杂需求)第三方库成熟稳定,支持钩子、手动清缓存等功能注意:缓存组件会占用内存,需避免缓存过多组件;若组件依赖外部数据(如接口),需在 “激活” 时重新校验数据有效性(如通过onActivate钩子刷新)。
script-src unsafe-eval
10-17
在Content Security Policy (CSP) 中,`script-src` 规则指定哪些来源可以加载脚本资源。`unsafe-eval` 是一个特殊的值,它告诉浏览器,你可以信任来自这些源的代码会安全地使用`eval()` 函数。然而,在现代安全最佳实践中,强烈建议避免使用`unsafe-eval`,因为`eval()` 函数可以执行任意的JavaScript代码,增加了代码注入的风险。 如果你在`script-src` 中明确指定了`unsafe-eval`,那么浏览器将允许你在受保护的页面上使用`eval()`,尽管这可能会增加安全风险。但是,除非有特殊的安全需求,例如执行经过验证的内部代码,否则一般建议删除`unsafe-eval` 或替换为更安全的执行方式,比如使用`Function`构造函数或者在服务器端执行动态代码。 举个例子: ```html <meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval';"> ``` 这条CSP指令意味着页面只能从自身的源加载脚本,并且允许使用`eval()`。但在实际生产环境中,除非有明确的理由,否则应该去掉`unsafe-eval`以提高安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值