qiankun icon indicating copy to clipboard operation
qiankun copied to clipboard

Published 20 hours ago verified publisher icon umijs

违反csp严格模式

Open hawkey7 opened this issue 3 years ago • 7 comments

image

qiankun非常简单好用,只是它不支持CSP严格模式吗?CSP严格模式是防止xss的重要手段,eval极具安全争议,请问是否可以官方提供无eval的安全线上版本?

hawkey7 avatar Mar 06 '21 15:03 hawkey7

部署到同域就可以了吧

gongshun avatar Mar 08 '21 02:03 gongshun

部署到同域就可以了吧

域名已经在白名单里了,只是违反了csp不允许的eval的规则

hawkey7 avatar Mar 08 '21 11:03 hawkey7

csp 严格模式禁用了 eval、new Function 这写动态执行 js 的方式,这个只有 qiankun 没有沙箱的情况下才有可能移除掉

kuitos avatar May 22 '21 15:05 kuitos

@kuitos 请问这个问题现在有没有解决思路,乾坤的源码里面: const nativeGlobal: Window = new Function('return this')(); 这个违反严格模式的CSP策略,官方能帮忙解决吗?

liangsheng1314 avatar Oct 15 '21 07:10 liangsheng1314

同样是这个问题官方会在未来版本中提供解决方案吗,还是说大部分没有这个安全策略,官方默认不解决,希望官方能给个回复,如果不解决我们就采取其他的方案,谢谢

jamesdanner avatar Sep 14 '22 05:09 jamesdanner

image

qiankun非常简单好用,只是它不支持CSP严格模式吗?CSP严格模式是防止xss的重要手段,eval极具安全争议,请问是否可以官方提供无eval的安全线上版本?

求问解决了吗?我也遇到这个问题了

SmileLifeIven avatar Dec 12 '22 07:12 SmileLifeIven

解决了吗

hasnum-stack avatar Feb 01 '24 05:02 hasnum-stack