目前,由于页面中的某些eval函数,我需要在firefox上将我的CSP设置为script-src: 'unsafe-eval'。我已经下载了firefox开发人员并启用了CSP。但是,有没有办法看看我更改的函数是否是问题的根本原因?
例如,如果我能通过firefox打开我的CSP头,说script-src: self;,然后让我的站点中断/接收CSP错误,直到我最终解决CSP错误的根本原因,那就太好了。
我不能100%确定我是否理解你的问题,或者考虑到你大约9个月前问过这个问题,你是否仍然面临问题。但由于其他人可能也有同样的问题,我建议研究CSP的"仅报告模式",它基本上运行CSP而不强制执行,并记录它遇到的所有问题。
以下是一些更详细的信息:仅CSP报告
我不确定浏览器是否允许你这样做,但你可以测试并从网站获得建议,https://securityheaders.io/.