Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed sou
最近更新了宝塔版本发现 百度富文本编辑器报错
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "default-src 'self' http: https: ws: wss: data: blob: 'unsafe-inline'".
查找发现是CSP策略限制问题,nginx配置文件中 add_header Content-Security-Policy ... 这一行注释掉就行,安不安全的晚点在研究
CSP策略限制:当前策略只允许从 self、http、https、ws、wss、data、blob 和 'unsafe-inline' 加载资源,但禁止了 'unsafe-eval'。
代码触发点:
使用了 eval() 或 new Function() 直接执行字符串。
在 setTimeout()、setInterval()、requestAnimationFrame() 中传入了字符串而非函数。
某些第三方库(如部分旧版JS框架、模板引擎)可能依赖这些动态执行方式。