Javascript 如何让KendoUI在遵守脚本src的严格内容安全策略的同时发挥作用
我有一个大型web应用程序,在尝试实施内容安全策略时遇到了一个问题。为了复制,我创建了一个非常基本的页面,如下所述。肯杜伊击球失败。我已经将其缩小为CSP问题,特别是当启用“不安全评估”时,KendoUI运行良好,但当不允许时,KendoUI运行良好。当然,这是一个严重的问题,所以我想知道我是否使用了错误的构建或缺少什么 粗略演示演示问题(标题值通过元标记插入):Javascript 如何让KendoUI在遵守脚本src的严格内容安全策略的同时发挥作用,javascript,kendo-ui,content-security-policy,Javascript,Kendo Ui,Content Security Policy,我有一个大型web应用程序,在尝试实施内容安全策略时遇到了一个问题。为了复制,我创建了一个非常基本的页面,如下所述。肯杜伊击球失败。我已经将其缩小为CSP问题,特别是当启用“不安全评估”时,KendoUI运行良好,但当不允许时,KendoUI运行良好。当然,这是一个严重的问题,所以我想知道我是否使用了错误的构建或缺少什么 粗略演示演示问题(标题值通过元标记插入): 只要我在脚本src选项中添加“不安全评估”,错误就会消失,但这似乎是不可接受的,并且可能是一个常见问题,因为kendoui是一个广泛
只要我在脚本src选项中添加“不安全评估”,错误就会消失,但这似乎是不可接受的,并且可能是一个常见问题,因为kendoui是一个广泛使用的框架。通过与Telerik的进一步对话,我得到了以下回复: KendoUI在内部使用eval()调用。这就是剑道UI模板在内部的工作方式。目前我们还没有解决办法,但我们正在探索呈现剑道UI小部件的新方法,这也将符合这一政策
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://cdn.kendostatic.com https://code.jquery.com;">
<script src="https://code.jquery.com/jquery-1.11.3.min.js" type="text/javascript" ></script>
<script src="https://cdn.kendostatic.com/2015.3.930/js/kendo.web.min.js" type="text/javascript" ></script>
</head>
<body>
<h1>See CSP Error in console</h1>
</body>
Content-Security-Policy: script-src 'self' https://cdn.kendostatic.com https://code.jquery.com;