rug*_*ugk 3 javascript browser-extension content-security-policy reactjs create-react-app
我必须对React应用程序使用内容安全策略。
之所以在这里不是什么大问题,是因为我正在创建一个WebExtension / Browser Extension /附加组件,并且这些附件确实具有这样的内容安全性策略,并且存在类似'unsafe-eval'且'unsafe-inline'被严格禁止的事情:
由于重大安全问题,addons.mozilla.org上列出的扩展名不允许在其CSP中使用'unsafe-eval','unsafe-inline',远程脚本,blob或远程源的扩展名。
我已create-react-app严格按照本指南创建了该应用程序。目的是能够在那里使用WebExtensions的默认CSP进行响应,或者至少仅进行很小的调整。
但是请注意,出于安全原因,实际上也应该在“常规”网站上使用(如此严格的)CSP,因此,此问题不仅针对附加组件制造商。
但是当我运行时npm run build,生成index.html的确包含了足够多的内联JS代码。
所以我该如何配置/使用反应以不这样做并...
实际上,似乎开发版本(我在运行时创建npm start)没有这样的缩小。所以我问了一个单独的问题,关于如何从那里获取文件:如何在不缩小的情况下构建React的生产版本?
Ash*_*dav 26
任何INLINE_RUNTIME_CHUNK=false在 Windows 系统中遇到无法识别命令的问题的人,下面是执行命令以防止构建中的内联块的正确方法。
set "INLINE_RUNTIME_CHUNK=false" && react-scripts build
创建一个脚本以在您的package.json文件中执行它。
"scripts": {
"build": "set \"INLINE_RUNTIME_CHUNK=false\" && react-scripts build"
}
我发现INLINE_RUNTIME_CHUNK周围的引号也是必要的&&如果命令是在 Windows 默认命令行中执行的。
对于 Linux,您可以按照已接受的答案进行操作。
使用环境变量,这样您就不必担心运行命令。
创建一个.env文件并添加INLINE_RUNTIME_CHUNK=false。
实际上,由于@heyimalex,我为我的问题找到了一个非常简单的答案。像这样运行构建脚本:
INLINE_RUNTIME_CHUNK=false npm run build
之后,它应该与CSP兼容。
| 归档时间: |
|
| 查看次数: |
1288 次 |
| 最近记录: |