Альтернатива скрипту-загрузчику для веб-пакета?

Question

Альтернатива скрипту-загрузчику для веб-пакета?

При объединении веб-приложения с использованием веб-пакета мне необходимо зарегистрировать некоторые сторонние скрипты в глобальном (т.е. window), скрипт-загрузчик, кажется, разработан для этого Webpack - Как загрузить немодульные скрипты в глобальную область видимости | окно .

Однако у этого есть большой недостаток: сгенерированный код использует eval.callкоторый не соответствует большинству рекомендаций по безопасности CSP и поэтому настоятельно не рекомендуется использовать его в производственной среде. Есть ли альтернативный загрузчик веб-пакетов, который я могу использовать для достижения той же цели без XSS-уязвимостей?

_{Также проект GitHub https://github.com/webpack-contrib/script-loader уже заархивирован}

1

webpack webpack-loader unsafe-eval

Источник

user4360949 19 дек '20 в 07:29

1 ответ

Другие вопросы по тегам webpack webpack-loader unsafe-eval

user4906280 22 сен '21 в 07:47 2021-09-22 07:47 · Answer 1 · 2021-09-22 07:47

Пока это выглядит лучшим решением, но утомительно:

https://webpack.js.org/loaders/imports-loader/

В основном вам нужно знать, какой побочный эффект выполняет каждый скрипт, а import-loader дает вам способы их реализовать. Например, вы можете заключить скрипт в вызов функции, которая связывает this к глобальному window объект.

Было бы неплохо, если бы мы могли каким-то образом просто запустить скрипты по порядку, но я также понимаю, как это будет сложно в Webpack без eval, в чем проблема.