谷歌关闭的内容安全政策答案

【问题标题】：Content Security Policy with google closure谷歌关闭的内容安全政策
【发布时间】：2016-12-15 05:11:51
【问题描述】：

我正在尝试为我的 Web 应用程序启用 CSP。我的政策是这样的：

"default-src 'self' 间隔：cdvfile:;"

我正在为 javascript 使用 google 闭包。但是，如果没有 javascript 优化，我的 js 被阻止是因为：

goog.json.parse 使用 eval()

如果我用闭包编译器编译我的代码，没有问题，因为提前编译，不使用 eval()。（使用JSON.parse）

我知道，作为一种解决方法，我可以使用sha256-..... 或nonce=....。

有没有其他方法，我可以不使用sha.. 或nonce.. 来使用CSP。

【问题讨论】：

【解决方案1】：

我相信如果您将goog.json.USE_NATIVE_JSON = true; 添加到您的代码中，它将不会使用eval。

【讨论】：