Encabezado del conjunto de servidores: Content-Security-Policy: default-src https:
Esto no parece un problema con pegjs.
¿Está cargando sus scripts de una fuente no segura (http?)
Puedo reproducir esto en los protocolos http y https. Se trata de una política de seguridad. Si el código usa la función eval, entonces no se ejecutará, el navegador bloqueará su ejecución.
Tengo una solución para eso, pero no es segura.
Más detalles sobre la política de seguridad:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
Su enlace es para encabezados http. Usted tiene el control de cualquier encabezado que envíe a su servidor.
Sí, este encabezado está relacionado con la seguridad, pero qué aplicación en 2020 no pensará en la seguridad. Es una práctica bastante común utilizar este enfoque en una aplicación web moderna.
Busqué un poco en Google y noté que las bibliotecas populares ya han realizado esta actualización.
Por lo tanto, no creo que muchas aplicaciones ignoren la seguridad en el futuro y seleccionen las herramientas adecuadas que sean consistentes con esto.
Pegjs es un generador de analizadores sintácticos, es una especie un poco separada de libs JS,
¿Cómo funcionaría JS dentro de la gramática sin eval
ing?
No creo que sea una buena solución para un generador de analizador sintáctico. El rendimiento es muy importante aquí después de todo.
Me falta contexto en este tema. ¿Alguien puede señalar con el dedo un fragmento de código relevante?
Creo que vale la pena agregar una alternativa que no sea eval
para la compatibilidad con la Política de seguridad del contenido; verá esto en algún momento antes de 0.12 agregando otro paquete (tal vez llamado dist/peg.csp.js
) a través de un nuevo archivo de entrada para ser consumido solo por Webpack
Probablemente no lo hagas solo como paquete web. Este problema no es específico del paquete web, y el paquete web está disminuyendo rápidamente, a favor del paquete acumulativo y el paquete.
Honestamente, no hay ninguna razón en particular para dejar eval
en su lugar si se proporciona alguna alternativa. No es como si fuera más rápido, como se sugirió extrañamente anteriormente. Todo lo contrario
Esto no debe estar marcado como not-a-bug
. De hecho, es un error grave.
Comentario más útil
Creo que vale la pena agregar una alternativa que no sea
eval
para la compatibilidad con la Política de seguridad del contenido; verá esto en algún momento antes de 0.12 agregando otro paquete (tal vez llamadodist/peg.csp.js
) a través de un nuevo archivo de entrada para ser consumido solo por Webpack