Библиотека шаблонов JavaScript, которая не использует функцию eval/new

Question

Библиотека шаблонов JavaScript, которая не использует функцию eval/new

Расширения Google Chrome с использованием manifest_version: 2 запрещено использовать eval или же new Function, Все проверенные мной библиотеки шаблонов JavaScript (mustachejs, underscorejs, шаблон jQuery, hoganjs и т. Д.) Используют new Function, Есть ли достаточно зрелые и поддерживаемые, которые тоже не используют?

Информация об ограничениях безопасности.

13

javascript templates google-chrome-extension eval

Источник

user26406 24 май '12 в 20:24

11 ответов

Другие вопросы по тегам javascript templates google-chrome-extension eval

user26406 24 май '12 в 21:15 2012-05-24 21:15 · Answer 1 · 2012-05-24 21:15

Оказывается, усы добавил new Function в последнее время и использование тега 0.4.2 не имеет его. Это API немного отличается с Mustache.to_html вместо Mustache.render и есть вероятность некоторого снижения производительности.

Я открыл вопрос, чтобы потенциально получить new Function удалено в будущем выпуске.

user1237 24 май '12 в 20:30 2012-05-24 20:30 · Answer 2 · 2012-05-24 20:30

Не похоже, что Pure использует либо eval или же new Function,

3

Источник

user1237 24 май '12 в 20:30

user17815 11 ноя '12 в 20:55 2012-11-11 20:55 · Answer 3 · 2012-11-11 20:55

Ответы здесь устарели, поэтому я выкладываю обновление.

С сентября Google изменил свою политику и разрешил unsafe-eval в манифесте 2 расширения. Смотрите эту ветку и эту страницу.

Так что библиотеки используют eval(), new Function() и т. д. можно использовать, если unsafe-eval включен для ваших расширений.

user1203580 11 июл '12 в 05:33 2012-07-11 05:33 · Answer 4 · 2012-07-11 05:33

Дистальный шаблон не использует eval.

2

Источник

user1203580 11 июл '12 в 05:33

user497418 11 ноя '12 в 21:16 2012-11-11 21:16 · Answer 5 · 2012-11-11 21:16

Это действительно зависит от того, что вы подразумеваете под "библиотекой шаблонов". Если вы просто хотите интерполяцию строк, нет необходимости eval или же new FunctionКогда вы начинаете нуждаться во встроенных структурах зацикливания, все становится сложнее.

Несколько месяцев назад я написал String.prototype.tmpl.js Сценарий, который я использовал пару раз здесь и там, в местах, где я не против переопределения String.prototype, В качестве статической функции вы можете использовать:

_tmpl.js:

function tmpl(tmpl, o) {
    return tmpl.replace(/<%=(?:"([^"]*)"|(.*?))%>/g, function (item, qparam, param) {
        return o[qparam] || o[param];
    });
}

_{Пример шаблона:}

<div id="bar"></div>
<script type="text/x-tmpl" id="foo">
    <h1><%=title%></h1>
    <p><%=body%></p>
</script>
<script>
    (function () {
        var foo,
            bar;
        foo = document.getElementById('foo');
        bar = document.getElementById('bar');
        bar.innerHTML = tmpl(foo.innerHTML, {
            title: 'foo bar baz',
            body: 'lorem ipsum dolor sit amet'
        });
    }());
</script>

База tmpl Конечно, скрипт может быть изменен, чтобы использовать фрагменты документа для создания элементов DOM, но я не уверен, что он считается "библиотекой шаблонов".

user343108 25 май '12 в 01:00 2012-05-25 01:00 · Answer 6 · 2012-05-25 01:00

Шаблоны закрытия - это библиотека шаблонов, которая не использует eval, Шаблоны скомпилированы в JavaScript заранее, поэтому в ваше приложение включается простой файл.js, который не должен сталкиваться с проблемами CSP.

2

Источник

user343108 25 май '12 в 01:00

user818091 18 июл '12 в 23:22 2012-07-18 23:22 · Answer 7 · 2012-07-18 23:22

Лучшее решение этой проблемы - предварительно скомпилировать шаблоны перед развертыванием расширения. И http://handlebarsjs.com/, и eco предлагают предварительную компиляцию в качестве функции. Я на самом деле написал пост в блоге, который идет вглубь.

1

Источник

user818091 18 июл '12 в 23:22

user689161 28 май '12 в 04:32 2012-05-28 04:32 · Answer 8 · 2012-05-28 04:32

Может быть, вы можете написать функцию eval1:

function eval1(blah) {
    var s = document.createElement("script");
    s.src = blah;
    document.head.appendChild(s);
    document.head.removeChild(s);
}

и найти / заменить в библиотеке, которую вы хотите, но это будет обманом, верно?

0

Источник

user689161 28 май '12 в 04:32

user949476 14 июл '12 в 20:42 2012-07-14 20:42 · Answer 9 · 2012-07-14 20:42

Я недавно столкнулся с той же проблемой. После обновления версии манифеста мое расширение перестало работать. Я попробовал Усы, но он не смог отрисовать индекс массива и имена свойств объекта. Поэтому мне пришлось создать собственную простую, но эффективную библиотеку шаблонов Ashe, в которой нет eval а также new Function, Надеюсь, это кому-нибудь поможет.

user1151131 02 апр '14 в 02:10 2014-04-02 02:10 · Answer 10 · 2014-04-02 02:10

https://developer.chrome.com/extensions/sandboxingEval

Не уверен, когда он был добавлен, но теперь вы можете делать песочницу в стиле Firefox в Chrome. Я портирую свое расширение Firefox, поэтому мне это нужно (поскольку у меня нет evalInSandbox:P)

0

Источник

user1151131 02 апр '14 в 02:10

user915865 09 июн '23 в 00:18 2023-06-09 00:18 · Answer 11 · 2023-06-09 00:18

Я только что попробовал Liquid от Shopify, который не вызвал ошибку CSP.

Кстати, Handlebars теперь выдает ошибку CSP.

Остальные я не пробовал.

0

Источник

user915865 09 июн '23 в 00:18