我已经使用 Vuejs 构建了一个浏览器插件,并使用 Laravel Mix 作为我的构建过程。
我所有的 vue 模板都在单个文件组件中,并且一切正常……直到我从插件清单中的 CSP 中删除“unsafe-eval”。 Firefox 显示错误:
Content Security Policy: The page's settings blocked the loading of a resource...Source: call to eval() or related function blocked by CSP.
Laravel Mix 使用 webpack 和 vue-loader,我的印象是它创建的包是符合 CSP 的。
我查看了构建的 JS,似乎没有对 eval() 的调用,但是我认为有一个 new Function() 调用导致了问题。
我在这里错过了一些简单的东西吗?
接受的答案
我缺少一些简单的东西。
基本上,我需要配置WebPack以使用Vue的运行时构建,这样:
mix.webpackConfig({
resolve: {
alias: {
'vue$': 'vue/dist/vue.runtime.js'
}
}
});
然后使用根部分而不是HTML元素实例化VUE:
const root = require('my-root-component.vue');
const app = new Vue({
el: '#app',
render: createElement => createElement(root),
});
我在这里得到答案: https://github.com/JeffreyWay/laravel-mix/issues/1052
指令“script-src”中的不安全 CSP 值“'unsafe-eval'”
CSP style-src: 'unsafe-inline' - 值得吗?
用于嵌入 youtube 视频的 CSP
CSP,拒绝加载脚本,违反了以下内容安全策略指令:“script-src 'self'”
EvalError:拒绝将字符串评估为 JavaScript,因为 'unsafe-eval' - Chrome 扩展
无法使用 Google 地图 API 实施严格的内容安全政策
谷歌浏览器从脚本标签中剥离 nonce 值
内容安全策略阻止 script-src - React 应用程序
由于在服务器上配置了 CSP 响应标头,Angular 应用程序抛出“内联样式...”错误
使用 attr 设置与 CSP 一起使用的 css 变量内联
在 chrome 扩展清单 v3 中添加 unsafe-inline
未捕获的类型错误:无法读取未定义的属性(读取“onClicked”)
在 Electron 中设置 CSP 元标记时,“您网站的内容安全策略阻止在 JavaScript 中使用 'eval'”警告
debug-vuejs-from-vs-code:在 chrome 中调试 vueJS 应用程序时未绑定断点
VueJs 开发工具面板未显示
Laravel-vuejs(Vue路由器)Javascript在onchange url中不起作用
Content-Security-Policy 指令“frame-ancestors”不支持允许站点的源表达式“unsafe-inline”
禁用 Vue Devtool 扩展提示
Chrome 中的 iframe 错误:无法从“窗口”读取“localStorage”:此文档的访问被拒绝
同源请求会导致“访问控制允许源不匹配”错误,尽管源当然匹配。注意:具有带“沙盒”的 CSP 策略
此外,我还需要
vue.config.json中的以下设置