为什么使用了security 后台出不来了_一起来做Chrome/Firefox/Edge Extension《使用eval类方法》

最新推荐文章于 2024-03-14 16:10:49 发布
最新推荐文章于 2024-03-14 16:10:49 发布
阅读量183 收藏
点赞数
文章标签: 为什么使用了security 后台出不来了

b905de7e9ca984ce0b209d59c46c40fd.png

因为FireFox已经兼容了Chrome的Extension API,所以为Chrome制作的Extension可以几乎无缝的发布到FireFox里。但Firefox对代码的要求比Chrome要高,比如今天的主角eval类方法就不允许在Extension里使用,Chrome是可以使用的。本文就是介绍一下相关的内容以及如何去支持。

eval类方法

简单说明一下,eval类方法,除了eval还有new Function,这两个方法要在Extension里使用,需要在manifest.json里开启安全策略,如:

"content_security_policy": "'unsafe-eval'",

不然就会报错:

Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self' blob: filesystem:".

再看看Firefox code review拒绝说明:

Extensions defining a content security policy that allows eval ('unsafe-eval') are generally not allowed for security and performance reasons. eval is only necessary in rare cases. Please use a different method.

所以,我们是无法在Firefox Extension(Add-ons)里使用eval类方法的。

为什么要使用eval类方法

最明显的原因,如:模板解析。我们知道,没有模板解析在渲染数据时会非常的麻烦和不好看,而大多数的模板解析都会使用eval来将字符串转为js function,以便调用。这其实是JS非常有优势的地方,几个简单的正则就可以有一整套模板解析机制。可惜无法简单的使用它们来帮助开发。

解决方法

使用沙盒模式

在Chrome的文档:Using eval in Chrome Extensions. Safely有讲解,如果使用沙盒模式来安全的使用eval的模板解析库,可以直接参考:https://developer.chrome.com/extensions/sandboxingEval

因为Firefox和Edge都是使用Chrome同种的Extension,所以肯定是通用的。

它的问题:

因为它实际是使用iframe模式,所以当你的模块拆分比较细的时候,并不好处理,而且不是所有Extension都好使用它,所以它肯定不是一个好的选择。

预编译模式

这其实也是Chrome推荐的一种方法,使用的时候先编译好,调用的是编译后的,这样就可以完全的避免使用eval类方法。但这里仍然有些问题,最主要是如何兼容开发/发布模式。这里可以有两种方法:

  1. watch监听文件修改,执行编译。很多库也有使用此方法
  2. 开发保持使用eval不变,发布编译时将其移除,同时编译模板,并更换调用的代码

我不是太喜欢watch监听的方式,因为不管怎么样,都有可能慢一拍,体验不好,所以选择第2种,也是YuiAPI使用的方法,简单说明。

开发的时候,保持使用eval不变

mainfest.json:

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'"

解析:

evalViewFunc: function(model, name) {
    let key = model + "." + name;
    if (!this.hasOwnProperty(key)) {
        let content = this[model][name](),
            _html = [];
        let txt = ["App.view.extend('"+ model +"."+name+"', function() {"];
        txt.push("this.init = function(data) {");
        txt.push("var html = '';");
        content = content.split('n');
        for (let i in content) {
            _html.push(this.parse(content[i]));
        }
        txt.push(_html.join(""));
        txt.push("return html;");
        txt.push("}");
        txt.push("});");
        eval(txt.join(""));
    }
}

编译的时候

  1. 读取mainfest.json将content_security_policy去掉后,再生成新的mainfest.json文件
  2. 根据模板信息,编译生成一个view.js,将引用模板的调用去掉,最后引用view.js

这样发布后view.js会直接运行,而在开发中使用view的方法都没有问题。

可以参考:

https://github.com/yuiitsu/YuiAPI​github.com
weixin_39638859
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Angular C SP 抛出 eval () 问题解决方法
Standup-jb的博客
02-23 5385
背景:在将项目部署到云平台时,运行抛出异常。异常如下。 Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directiv
Uncaught EvalError: Refused to evaluate a string as JavaScript
gao_zhennan的博客
07-27 1万+
Uncaught EvalError 已解决】 本文不仅解决了问题,还介绍了问题发生的原因。。重点在于介绍了:内容安全策略,策略指令
Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allow
只会div的博客
04-26 1万+
问题 在Electron 中使用react+ webpack创建项目,运行Electron后,控制台报错: Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.
vue报错Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed...
最新发布
qq_41391095的博客
03-14 1518
electron 使用sequelize报错Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.把html中meta标签,增加’unsafe-eval
谷歌插件中引入vue.js文件报错
xp275019的博客
12-18 941
谷歌插件中引入vue.js文件报错
微信小程序开发之不能使用eval函数的问题
03-29
例如,使用JS编写一个计算器程序,在遇到"2+1-3*5"这样的字符串时,使用eval就可以很容易地计算出,似如:   var s="2+1-3*5"; console.log(eval(s)); 二 微信小程序练手遇到问题 (1)微信小程序环境...
USART_Interrupt.rar_单片机开发_C/C++_
08-12
This example provides a basic communication between USARTy and USARTz using... USARTy and USARTz can be USART1 and USART2 or USART2 and USART3depending on the STMicroelectronics EVAL board you are using.
使用NLG-Eval需要依赖的数据包
11-01
NLG_Eval是一款用于自然语言生成(Natural Language Generation, NLG)评估的工具,它能够帮助研究人员和开发者量化地分析生成文本的质量。在使用NLG_Eval之前,我们需要确保安装了必要的依赖数据包,以便该工具能...
axure_chrome_extension_V0.6.3.7z
12-21
Axure Chrome Extension V0.6.3 是一个针对产品设计师和产品经理的利器,它是一款能够直接在Chrome浏览器中运行的原型图设计插件。这款插件的出现,省去了用户安装独立的exe可执行文件的步骤,使得原型设计更加便捷...
Javascripteval函数的使用方法与示例
12-09
说明 该方法只接受原始字符串作为参数,如果 string 参数不是原始字符串,那么该方法将不作任何改变地返回。因此请不要为 eval() 函数传递 String 对象来作为参数。 如果试图覆盖 eval 属性或把 eval(&#...
laytpl使用示例
08-02
laytpl使用示例
CHROME扩展笔记之拒绝unsafe-eval求值
slongzhang的博客
03-18 1万+
开发插件选项页时由于引用了vue框架开发前端页面,导致拒绝eval求值问题 Uncaught EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval’ is not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ blob: filesystem:”. 这是浏览器自
Electron 中 lordicon 无法显示
AaronZZH 的博客
05-15 1139
Electron 中 lordicon 无法显示 报错1:electron properties of undefined (reading ‘effectsManager’ 调试发现是src="https://cdn.lordicon.com/*.json"未加载导致。但被try catch了 实际报错: ‘unsafe-eval’ is not an allowed Uncaught EvalError: Refused to evaluate a string as JavaScript becaus
chrome扩展开发】vue3 引用 vue-i18n 报错 Refused to evaluate a string as JavaScript because ‘unsafe-eval
VsXiXi的博客
01-31 911
【代码】【chrome扩展开发】引用 vue-i18n 报错 Refused to evaluate a string as JavaScript because ‘unsafe-eval
前端面试常见编程题汇总
廖龙东个人博客
04-07 800
使用时间戳,当触发事件的时候,我们取出当前的时间戳,然后减去之前的时间戳(最一开始值设为 0 ),如果大于设置的时间周期,就执行函数,然后更新时间戳为当前的时间戳,如果小于,就不执行。使用定时器:当触发事件的时候,我们设置一个定时器,再触发事件的时候,如果定时器存在,就不执行,直到定时器执行,然后执行函数,清空定时器,这样就可以设置下个定时器。实现 add(1)(2)(3)(4)(5).sum()和 add(1)(2, 3)(4)(5).sum()参数不定的累加效果。
为什么使用security 后台出不来了_为什么你的网页需要CSP?
weixin_39530960的博客
11-29 127
内容安全策略(CSP)是一个 HTTP Header,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝。使用它是防止跨站点脚本(XSS)漏洞的最佳方法。由于难以使用 CSP 对现有网站进行改造(可通过渐进式的方法),因此 CSP 对于所有新网站都是强制性的,强烈建议对所有现有高风险站点进行 CSP 策略配置。为什么要配置CSP 的主要好处就是可以全...
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Content-Security-Policy —— HTML HTTP的内容安全策略
林中路
07-23 3052
是什么 HTTP 协议的 Content-Security-Policy 响应头允许网站管理员控制用户代理可以为给定页面加载的资源 有什么用 可以防止[[Web安全详解#跨站点脚本攻击]] 语法 Content-Security-Policy: <policy-directive>; <policy-directive> 指令<policy-directive>说明 获取资源型指令 可选来源 <host-source> : 因特网主机的名称或IP地址,以及
bash: /home/dx/data/awang/defense_methods_9/FD/FDM/utils/fd_eval.py: Permission denied
05-20
这个错误提示是因为你没有权限执行 `/home/dx/data/awang/defense_methods_9/FD/FDM/utils/fd_eval.py` 这个文件。你可以使用 `chmod` 命令来修改文件权限,让你有执行权限。例如,如果你想给该文件所有用户都赋予...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值