Problem #3558✓ GelöstJun 22, 2021 geöffnetvon aimeos2-Reaktionen

Support Content-Security-Policy

Kurze Antwortvon artf2

Okay, dann versuche ich, es für die nächste Version zu korrigieren.

Lesen Sie die vollständige Antwort unten ↓

Frage

Um die mögliche Angriffsfläche zu verringern, wenn der Editor in "feindlichen" Umgebungen (z. B. in SaaS-Plattformen) verwendet wird, ist CSP-Unterstützung erforderlich. Das verhindert auch Probleme wie https://github.com/artf/grapesjs/issues/3082

Im Moment ist das einzige Problem, das effektive CSP-Regeln verhindert, die Verwendung von 'new Function()' im GrapesJS-Code, die eine CSP-Regel 'unsafe-eval' erfordert.

Gibt es eine andere Möglichkeit, das umzusetzen?

Antworten (4)

👍 Am hilfreichstenartfAug 5, 2021

Okay, dann versuche ich, es für die nächste Version zu korrigieren.

artfJun 24, 2021

Mmm, ich bin mir nicht ganz sicher, wie ich das beheben kann, und was meinst du mit 'ist die Verwendung von neuer Funktion() im GrapesJS-Code', da es so etwas im Quellcode nicht gibt?

aimeosJun 24, 2021

Ich habe herausgefunden, dass es in den Dist-Dateien ist, weil underscore.js template()-Methode 'new Function()' verwendet. Ich denke, das wird es schwierig machen, diese Abhängigkeit zu ersetzen oder zu beseitigen, um einen CSP ohne 'unsafe-eval' durchzusetzen.

GJSBlockMay 17, 2026

Danke, dass du das gemeldet hast, @aimeos. Sicherheits- und Abhängigkeitsfragen sind wichtig. Das GrapesJS-Team arbeitet aktiv daran, Abhängigkeiten aktuell zu halten. Für dich gerade jetzt: Führe 'npm audit fix' aus, um verfügbare Patches zu sehen Prüfen Sie nach einer neueren GrapesJS-Version, di...

Verwandte Fragen und Antworten

Führe die Forschung mit ähnlichen Themendiskussionen fort.

Kostenpflichtige Plugins, die diesem Problem entsprechen

Kuratiert nach Themen-Schlüsselwörtern und Label-Relevanz, damit Sie schneller liefern.

Alle Plugins anzeigen

Lade: Empfehlungen für kostenpflichtige Plugins...

Kostenlose Option

Überprüfen Sie die Open-Source-GrapesJS-Plugins auf GitHub Oder suchen Sie schnell in unserem kostenlosen Katalog.

Durchstöbere kostenlose Plugins →
Premium-Option

Premium-Plugins werden mit Support, regelmäßigen Updates und produktionsreifen Funktionen geliefert – das spart Tage an Integrationsarbeit.

Durchsuchen Sie Premium-Plugins →

Durchsuchen Sie Plugin-Kategorien

Springe direkt zu den Plugin-Kategorieseiten im Marktplatz.