Chrome打包应用中的JSON模式验证

Question

4

我正在尝试在我的Chrome应用程序中使用AJV JSON模式验证器。但是我遇到了错误。

EvalError: 拒绝将字符串作为JavaScript进行评估，因为在以下内容安全策略指令中，'unsafe-eval'不是允许的脚本来源: "default-src 'self' blob: filesystem: chrome-extension-resource:"。

这发生在执行期间。

var validate = ajv.compile(schema);

据我所知，AJV使用动态代码生成和eval()来验证JSON，这在CSP中是被禁止的。

有没有一种方法可以在Chrome应用程序中使用AJV？

或者是否有其他JSON模式验证器可以在Chrome应用程序中使用？

- anton.mo

3个回答

1

如果你想使用的某个库与Chrome CSP不兼容，那么你可以在沙盒中使用它。

这是有良好文档支持的，并且有一个具体示例和一个专门的文章"在Chrome扩展中安全地使用eval。" 缺点是你不能编写同时使用Chrome API和该库的代码。你需要将其分开并在两个脚本之间进行通信。

- Xan

具体的例子帮了我很多。谢谢。 - anton.mo

0

遇到了相同的问题。我使用了jsonchema作为替代品。对我来说运行得很好。

- Sergey Geron

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- esp · Accepted Answer

我最近使用ajv-cli实现了预编译模式，可以将模式编译成独立的模块。这样，您就可以完全避免使用代码生成和函数构造器，从而简单地遵守CSP。

尽管与Ajv本身相比存在限制，但大多数用例都已经涵盖。