javascript - 启用 CSP 时要避免哪些与 eval() 相关的函数？

Mozilla docs on CSP将“eval()和类似方法”列为可能的违规者：

[...]'unsafe-eval' 允许使用eval()和类似的方法从字符串创建代码。[…]

CSP3 规范 § 1.2.1，提到“eval()和类似的结构”：

eval()通过让开发人员对 [...] 动态代码执行（通过和类似结构）[...]进行相当精细的控制，降低内容注入攻击的风险

但最终答案在 CSP3 规范中进一步说明，在§ 6.1.10.4 中：

以下 JavaScript 执行接收器在 " unsafe-eval" 源表达式上进行了控制：

• eval()
• Function()
• setTimeout()带有不可调用的初始参数。
• setInterval()带有不可调用的初始参数。

setImmediate()注意：如果一个用户代理实现了像or这样的非标准接收器 execScript()，它们也应该在 " unsafe-eval" 上进行门控。

因此，出于 CSP 的目的，“动态代码执行结构”、 eval()“类似方法”、“相关函数”、“类似结构”的完整列表是：

eval()
Function()     // typically new Function()
setTimeout()   // with non-callable argument
setInterval()  // with non-callable argument
setImmediate()
execScript()

就我而言，我new Function(...)在捆绑包中发现了一些碎片，现在正在弄清楚如何防止它们出现。

奖金

如果您使用grepl或类似grep的工具来查找字符串匹配项并逐个字符地打印周围的上下文（而不是像往常一样逐行grep），您可以使用以下命令来查找“动态代码执行结构”在捆绑（缩小和代码拆分）应用程序的所有文件中：

find "<build_dir>" -type f -iname "*.js" -exec grepl -k 512 -H "(eval|Function)(\s|\t)*\(" '{}' \;

或者，您可以关闭 JS minifier（例如 UglifyJS）并使用 normal 检查您的构建grep。