Uncaught EvalError:Refused to evaluate a string as JavaScript解决
作者:明月几时有666
问题发生
环境:操作系统win10,浏览器Google Chrome 版本 103.0.5060.134(正式版本) (64 位)
我想要通过调用Function构造函数,来创建一个完成加法功能的函数,代码如下:
var sum = new Function('a', 'b', 'return a + b');
在浏览器控制台运行,结果报错
大概意思是说:拒绝将字符串评估(解析)为JavaScript代码,因为在以下内容安全策略指令中,'unsafe-eval’不是一个允许的脚本源:
通过Function构造 函数,创建一个功能函数,代码如下:
function defineGetter(prop, data) { return Object.defineProperty(this, prop, { get: new Function(`return ${JSON.stringify(data)};`) }); }
报如下错误:
tools.ts:239 Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self' 'unsafe-inline'".
问题分析
1. 内容安全策略
(Content Security Policy,CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击。
CSP 的主要目标是减少跨站脚本(Cross-Site Scripting XSS) 的攻击 。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。即使有的时候这些脚本并非来自于它本该来的地方,由于浏览器信任其内容来源,使得恶意脚本在受害者的浏览器中得以运行。
2. 配置内容安全策略
一个策略由一系列策略指令所组成,每个策略指令都描述了一个特定资源类型以及生效范围(信任的来源)
<meta> 元素可以用来配置该策略(Http响应头也可以配置)
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
content属性的内容格式:多个资源类型用英文分号分隔,类型和来源、多个来源之间用空格分隔,来源加英文单引号,如下所示
资源类型A ‘来源1’ ‘来源2’ … ; 资源类型A ‘来源1’ ’来源2’…
3.内容安全策略指令
default-src,当没有显示的为资源配置生效范围,默认使用default-src的值作为生效范围。
例如,没有配置script-src,其默认值就是self
script-src,表示资源类型为脚本文件(以下取值表示不同的来源)
- self 表示允许脚本来源于当前网站(当前域名,例如:https://www.xxxx.com/,脚本文件路径的前缀和所在的html文件一致)
- unsafe-inline 表示允许脚本来源于<script></script> 标签对
- unsafe-eval 表示允许脚本来源于字符串
还有样式等各种各样的资源,在文章不是重点,感兴趣可以通过“资源类型”查看
The ‘unsafe-eval’ source expression controls several script execution methods that create code from strings. If ‘unsafe-eval’ isn’t specified with the script-src directive, the following methods are blocked and won’t have any effect:【 'unsafe-eval’控制几个从字符串创建脚本代码的方法。如果’unsafe-eval’没有在script-src指令中指定,以下方法将被阻塞,并且不会产生任何影响:】
eval()
Function()
When passing a string literal like to methods like: window.setTimeout(“alert(“Hello World!”);”, 500);
setTimeout()
setInterval()
window.setImmediate
window.execScript() Non-Standard (IE < 11 only)
解决方法
简单来说,eval()、Function()等函数会从字符串中“解析”脚本代码,必须在内容安全策略中添加信任字符串来源的脚本的策略指令,该来源的脚本才可以正常运行。
<head> <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' 'unsafe-eval';"> </head>
如果是在开发谷歌插件可以配置manifest.json里的content_security_policy属性,添加策略的规则相同。
如果是在使用eval()函数,或者Function()函数,大概率你是随意打开了一个网页,F12进入了控制台。但是,别人的网站为了安全,不允许字符串来源的脚本。我尝试修改别人的网页,在head元素中添加meta元素,配置内容安全策略,无效。这也是可以理解的,如果可以通过在别人的网页中添加meta元素,配置策略,那就可以随意攻击别人的网站了。自己创建一个html网页,练习eval()函数、Function() 函数的使用。
另外,也许报错是"because ‘unsafe-inline’ is not an allowed source",那么只需要把unsafe-inline添加到策略指令script-src中即可
以上就是Uncaught EvalError:Refused to evaluate a string as JavaScript解决的详细内容,更多关于Uncaught EvalError解决的资料请关注脚本之家其它相关文章!
您可能感兴趣的文章:
- JS函数报错Uncaught ReferenceError: XX is not defined问题及解决
- JS报错Uncaught TypeError: XXX is not a function的解决方法
- js控制台报错Uncaught TypeError: Cannot read properties of undefined (reading ‘appendChild‘)的解决
- javascript函数报Uncaught ReferenceError: XXX is not defined
- JS提示:Uncaught SyntaxError: Unexpected token ILLEGAL错误的解决方法
- JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法
- JavaScript错误处理之分析 Uncaught(in promise) error的原因及解决方案