CHROME扩展笔记之拒绝unsafe-eval求值

最新推荐文章于 2024-03-14 16:10:49 发布
最新推荐文章于 2024-03-14 16:10:49 发布
阅读量1.4w 收藏 6
点赞数 1
分类专栏: chrome 文章标签: chrome
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35606400/article/details/114986532
版权

开发插件选项页时由于引用了vue框架开发前端页面,导致拒绝eval求值问题
Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ blob: filesystem:”.
在这里插入图片描述
这是浏览器自带的"网页安全政策"(Content Security Policy)导致的;浏览器默认的Content-Security-Policy的安全政策时“ default-src ‘self’ ”。我们可以通过manifest.json重新配置Content Security Policy的配置开启eval功能;
在这里插入图片描述

// 代码如下,可直接复制
,"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'"

注意:修改插件配置文件manifest.json需要重新安装插件才能生效(先卸载再重新导入)

参考资料:
Chrome扩展程序“拒绝将字符串评估为JavaScript,因为’unsafe-eval’(Chrome extension "Refused to evaluate a string as JavaScript because ‘unsafe-eval’)

关于MV3

根据谷歌插件开发文档描述MV3 不允许对extension_pages的CSP 修改进行修改。如script-src, object-src(而在MV2中这些是允许修改的)
在这里插入图片描述

slongzhang_
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Chrome Plugin静态页面触发CSP如何解决CSP
weixin_42429220的博客
06-03 488
内容安全策略是一种计算机安全标准,旨在防御跨站脚本、点击劫持等代码注入攻击,阻止恶意内容在受信网页环境中执行。Manifest V3 对于内容安全策略有一些默认的设置,如禁止外部代码的执行,这主要是为了增强安全性。如果需要调整默认策略以允许执行更多类型的资源,可以通过修改 manifest.json 中的 content_security_policy 字段实现。
chrome扩展开发】vue3 引用 vue-i18n 报错 Refused to evaluate a string as JavaScript because ‘unsafe-eval
VsXiXi的博客
01-31 782
【代码】【chrome扩展开发】引用 vue-i18n 报错 Refused to evaluate a string as JavaScript because ‘unsafe-eval
谷歌来了也不好使!谁说Chrome插件v3中不能使用eval?
MyWay
09-06 3580
全网上手最快最简单最管用的Chrome extension v3的eval解决方案,抛弃那些大坑吧,咱好歹实实在在跑得起来
‘unsaf-eval‘ is not an allowed source of script
Blues_jim的博客
05-31 995
发布生产环境时遇到了 这个报错,解决方案是检查nginx配置 CSP 有没有添加 add_header Content-Security-Policy "default-src 'self'"; 将它注释掉或者开白名单
vue报错Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed...
最新发布
qq_41391095的博客
03-14 1253
electron 使用sequelize报错Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.把html中meta标签,增加’unsafe-eval
Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allow
只会div的博客
04-26 1万+
问题 在Electron 中使用react+ webpack创建项目,运行Electron后,控制台报错: Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.
Uncaught EvalError: Refused to evaluate a string as JavaScript
gao_zhennan的博客
07-27 1万+
【Uncaught EvalError 已解决】 本文不仅解决了问题,还介绍了问题发生的原因。。重点在于介绍了:内容安全策略,策略指令
谷歌插件中引入vue.js文件报错
xp275019的博客
12-18 912
谷歌插件中引入vue.js文件报错
Web 安全之内容安全策略详解(Content-Security-Policy,CSP)
热门推荐
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
Angular安全专辑之二——‘unsafe-eval’不是以下内容安全策略中允许的脚本源
KenkoTech的博客
08-17 1464
不包含‘unsafe-eval’的理由是eval 实际上是不安全的。它在每种语言中的意思是“获取这个字符串并执行它的代码”。这个错误的意思是,拒绝将字符串评估为 JavaScript,因为‘unsafe-eval’不是以下内容安全策略中允许的脚本源。尽量避免使用eval方法,大多数情况下,eval方法是可以被避免的。而不是把‘unsafe-eval’加入到CSP白名单中。因为我的安全策略(CSP)白名单中并不包含‘unsafe-eval’这个选项。上述的代码可以这样更改,代码正常工作。
phantom-eval:使用 PhantomJS 评估 URL 上的代码
06-25
var phantomEval = require ( 'phantom-eval' ) phantomEval ( 'http://localhost:8000' , function ( ) { // Run this in webkit return window . location . href } , function ( err , results ) { /...
Rust-Unsafe-Analyzer
04-06
《Rust-Unsafe-Analyzer:理解与应用》 在编程世界中,安全性是代码质量的重要考量因素之一。Rust作为一种系统级编程语言,以其强大的内存安全特性而闻名。"Rust-Unsafe-Analyzer"项目正是针对Rust语言的不安全代码...
codeql-javascript-unsafe-jquery-plugin
03-26
您的课程“ CodeQL不安全JQuery”的GitHub存储库 欢迎参加本课程! 对于课程的每个步骤,此项目中都会创建一个新的问题,并为您提供说明。 根据这些说明,您可以通过在此存储库中编写和提交CodeQL查询来完成每个步骤...
Vue源码学习之模板编译
多看多听多总结
07-17 765
Vue源码学习之模板编译
Angular C SP 抛出 eval () 问题解决方法。
Standup-jb的博客
02-23 5367
背景:在将项目部署到云平台时,运行抛出异常。异常如下。 Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directiv
web安全策略_使用内容安全策略改善Web安全性
culh2177的博客
08-23 1468
web安全策略Content Security Policy (CSP) is a security mechanism that helps protect against content injection attacks, such as Cross Site Scripting (XSS). It's a declarative policy that lets you give the ...
手把手教你CSP系列之script-src
菜鸟路上的小白
08-04 3175
HTTP Content-Security-Policy(CSP)script-src指令为JavaScript的源指定有效来源。这不仅包括直接加载到。
http content_security_policy
focus on security
08-24 440
扩展默认情况下对其应用了内容安全策略。默认策略限制了它们可以从中加载<script>和<object>资源的来源,并且禁止使用诸如之类的潜在不安全做法eval()。请参阅默认内容安全性策略以了解有关此含义的更多信息。 您可以使用"content_security_policy"清单密钥来放松或收紧默认策略。该密钥的指定方式与Content-Security-Policy HTTP标头相同。有关CSP语法的一般说明,请参见使用内容安全策略。 例如,您可以使用此键执行以下操作: ..
script-src 'self' 'unsafe-eval'
04-01
This is a Content Security Policy (CSP) directive used to specify which sources are allowed to execute scripts on a web page. The 'self' keyword allows scripts to be executed from the same origin as the web page. The 'unsafe-eval' keyword allows scripts to be executed using eval() or similar methods, which can be potentially vulnerable to cross-site scripting (XSS) attacks. In summary, this CSP directive allows scripts to be executed from the same origin and also allows the use of the eval() method, which can be risky but may be necessary for certain applications.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值