ng-file-upload的CSP策略适配：解决内联脚本与eval限制问题

ng-file-upload的CSP策略适配：解决内联脚本与eval限制问题

【免费下载链接】ng-file-upload Lightweight Angular directive to upload files with optional FileAPI shim for cross browser support 项目地址: https://gitcode.com/gh_mirrors/ng/ng-file-upload

什么是CSP策略？

内容安全策略（Content Security Policy，CSP）是一种安全层，用于检测和减轻某些类型的攻击，包括跨站脚本（XSS）和数据注入攻击。CSP通过指定哪些资源可以加载，哪些脚本可以执行，来帮助防止恶意代码的执行。

ng-file-upload中的CSP挑战

ng-file-upload作为一个轻量级的Angular文件上传指令，在实现文件上传、拖放、粘贴、续传、取消/中止、进度显示、调整大小、缩略图、预览、验证和CORS等功能时，可能会使用一些CSP策略通常禁止的技术，如内联脚本和eval函数。

分析ng-file-upload源码中的CSP问题

1. XMLHttpRequest原型修改

在src/upload.js中，ng-file-upload修改了XMLHttpRequest的原型方法：

window.XMLHttpRequest.prototype.setRequestHeader = (function (orig) {
  return function (header, value) {
    if (header === '__setXHR_') {
      var val = value(this);
      // fix for angular < 1.2.0
      if (val instanceof Function) {
        val(this);
      }
    } else {
      orig.apply(this, arguments);
    }
  };
})(window.XMLHttpRequest.prototype.setRequestHeader);

这种原型修改可能会被CSP策略视为潜在的安全风险，特别是当修改后的方法执行动态代码时。

2. 动态函数执行

在src/shim-upload.js中，我们可以看到如下代码：

xhr.upload.addEventListener = function (t, fn) {
  xhr.__listeners[t] = fn;
  if (origAddEventListener) origAddEventListener.apply(this, arguments);
};

这里的事件监听器函数fn可能包含动态执行的代码，这在严格的CSP策略下可能会被阻止。

3. Flash shim的使用

ng-file-upload提供了Flash shim来支持不支持FormData的旧浏览器：

FileAPI.shouldLoad = !window.FormData || FileAPI.forceLoad;
if (FileAPI.shouldLoad) {
  // Flash shim初始化代码
}

Flash的使用本身就带来了额外的安全考虑，并且可能与CSP策略冲突。

CSP策略适配方案

1. 非ceval构建版本

解决CSP限制的最佳方法是使用ng-file-upload的非eval构建版本。这些版本已经移除了所有eval调用和内联脚本，因此可以直接在严格的CSP环境中使用。

2. 配置CSP策略白名单

如果必须使用标准构建版本，可以通过配置CSP策略来允许ng-file-upload所需的特定资源和脚本执行：

Content-Security-Policy: 
  default-src 'self';
  script-src 'self' 'unsafe-inline' 'unsafe-eval';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data:;
  connect-src 'self';
  font-src 'self';
  object-src 'self';
  media-src 'self';
  frame-src 'self';

注意：只在开发环境中使用'unsafe-inline'和'unsafe-eval'，生产环境中应使用更严格的策略。

3. 实现CSP兼容的进度监听

修改src/upload.js中的进度监听实现，避免使用动态函数：

function notifyProgress(e) {
  if (deferred.notify) {
    deferred.notify(e);
  }
  if (promise.progressFunc) {
    $timeout(function () {
      promise.progressFunc(e);
    });
  }
}

使用Angular的$timeout服务可以确保函数在Angular上下文中执行，避免了直接的动态函数调用。

4. 移除Flash shim依赖

对于现代浏览器，可以通过禁用Flash shim来避免相关的CSP问题：

FileAPI.forceLoad = false;
FileAPI.shouldLoad = false;

这将强制ng-file-upload使用原生的FormData API，从而避免Flash相关的安全限制。

验证CSP策略兼容性

为了确保ng-file-upload在CSP策略下正常工作，可以使用浏览器的开发者工具来监控CSP违规情况。在Chrome中，可以在"安全"选项卡下查看CSP报告。

此外，还可以使用ng-file-upload的测试套件来验证CSP兼容性：

npm test

测试文件位于test/spec/test.js，可以根据需要添加CSP特定的测试用例。

总结

通过使用非eval构建版本、合理配置CSP策略、修改动态代码实现以及移除不必要的Flash依赖，我们可以使ng-file-upload在严格的CSP环境中正常工作。这不仅提高了应用的安全性，还确保了在现代浏览器安全策略下的兼容性。

随着Web安全标准的不断发展，建议持续关注ng-file-upload的更新，并及时调整CSP策略以适应新的安全要求。完整的官方文档可以参考README.md。

【免费下载链接】ng-file-upload Lightweight Angular directive to upload files with optional FileAPI shim for cross browser support 项目地址: https://gitcode.com/gh_mirrors/ng/ng-file-upload