<p>MathJaxには安全でない「コンテンツセキュリティポリシー」が必要です</p>

安全でない評価は私にとっても大きな問題です。 間もなくChromeは、すべての拡張機能にevalの使用を禁止するコンテンツセキュリティポリシーを採用するように強制します。 現在、これに準拠するようにReadiumをアップグレードしようとしていますが、これを使用してMathJaxを使用することはできません。

+1

みんなありがとう。 調べてみます。

単なる予備的な更新です。 いくつかの問題をすぐに修正できるようです（Chromeストアにとっては十分だと思います）。 ただし、パフォーマンスがどのように低下​​するかはわかりません。ご想像のとおり、これは悪い結果になる可能性があります。 @dpvcがこれをより詳細に調べ、おそらくいくつかの実験的なブランチを作成できるようになったら、最新情報をお知らせします。

特定のコードに関する追加のコメント、質問、提案がある場合は、お知らせください。

私はそれを自分で調べるのに少し時間を費やしました。 時期尚早の最適化をやめる必要があるようです。 文字列の評価は、クロージャを作成するよりも速くはありません。

また、 eval()を実行できるかどうかを確認するためだけに、Mathjaxをロードするすべてのページでeval()を実行するべきではありません。 基本的に、これは行く必要があります。

new Function()呼び出しは速度のためではなく、メモリのためです。 new Function()はクロージャを作成しないため、ローカルスコープを保持しません。 これはオブジェクト指向プログラミングモデルの中心であり、多くのオブジェクトが使用されているため、メモリ使用量に影響を与える可能性があります。 最近のブラウザではテストを行っていません。

evalの使用法に関しては、MathJaxはインライン構成ブロックを処理するためにそれを使用しますが、現時点では簡単に置き換えることはできません。 したがって、MathJaxの「安全な」バージョンでは、外部構成ファイルを使用する必要があります（これは問題ではないはずであり、とにかくセキュリティポリシーに沿っている可能性があります）。 参照するeval呼び出しは、 evalを実行できるかどうかを判断するためではなく、グローバル名前空間で実行できるかどうかを判断するためのものです（すべてのブラウザーに当てはまるわけではありません）。 セキュリティのニーズに対応できるバージョンでは、これを削除する必要があることを認識しています。

これは、JavaScriptでクロージャが機能する方法ではありません。 ローカルスコープのすべてを保持するわけではありません。 関数が使用するものだけをキャプチャします。 CONSTRUCTOR関数は、ローカルスコープから何も使用せず、クロージャーを作成するためのコストはかかりません。 これは、存在しなかった問題の時期尚早な最適化です。

evalに関する限り、私のポイントは、必要がない場合、特に安全でないeval()を使用するコードの場合は、ページ上でコードを実行するべきではないということです。 そのEVAL関数は、Mathjaxがインライン構成に含まれている場合にのみ使用するため、必要になるまでテストを実行しないでください。 しかし、実際には、なぜ構成は実行可能コードでなければならないのでしょうか。 関数に渡されるのは、実際にはJSONのチャンクにすぎません。 JSONを渡して解析し、MathJAXに関数を呼び出させてみませんか？

これは、JavaScriptでクロージャが機能する方法ではありません。 ローカルスコープのすべてを保持するわけではありません。 関数が使用するものだけをキャプチャします。

物事はそれほど明確ではないと思います。 まず、これは、コードのその部分が記述された2008年にはそうではありませんでした。 今朝テストを実行したところ、その時点で使用されていたSafari、Firefox、Opera、IEのバージョンがすべて、説明したとおりに機能することを確認しました（使用する変数に関係なく、スコープチェーン全体がクロージャーに保持されました）。 ）。 これを参照しているサイトは今朝（昨日は稼働していた）ダウンしているようですので、詳細は確認できませんが、ECMAScript262仕様の一部だったのを覚えています。

Safari、Chrome、Firefox、およびIEの現在のバージョンは、説明どおりに機能しているように見えるため、それ以降、状況が変化しています。 変更が発生したのはSafari4、Firefox 3.6、IE9のようです。 テストする古いバージョンのChromeがないので、そこでの履歴がわかりません。 IE8は古い動作をしますが、Opera12はまだ動作します。 モバイルデバイスをチェックしていません。 これらのブラウザの一部はMathJaxのサポートリストに含まれているため、MathJax全般について考慮する必要がある問題です。 もちろん、あなたのニーズに合わせて何かを解決できると確信しています。

JSONデータの場合、構成ブロックは単なるMathJax.Hub.Config()呼び出し以上のものである可能性があります。 たとえば、イベントリスナーをインストールしたり、TeX入力jaxに関数を追加して、追加のコマンドを実装したりできます。 これらには実行可能コードが含まれているため、JSONデータの一部にすることはできません。 この機能は常に使用されるわけではありませんが、実際のWebサイトで使用されていることは確かです。 さらに、すべてのターゲットブラウザにJSONライブラリが組み込まれているわけではないため、解析を実行するには追加のライブラリが必要になります。 （確かに乗り越えられないわけではありませんが、ダウンロードするコードが増えます。）

これを変更すると+1され、（とりわけ）GithubがMathJaxをウィキで再び許可するようになります。

@ketchこの点に関してGithubが発言するためのリファレンスはありますか？ この問題がGithubWikiのセキュリティにどのように影響するかわかりません。

@pkraこれが原因かどうかはわかりませんが、そうだと思います。 私はこのページのコメントによってこれに導かれました：

http://stackoverflow.com/questions/16889421/how-to-insert-javascript-to-enable-mathjax-on-github-wiki-pages

そして、参照してください

https://github.com/blog/1477-content-security-policy

MathJaxのサポートは、CSP機能の実装と同時に消滅したと思います。

ありがとう、それは面白いです。 この2つが関連しているのかどうかはわかりませんが、誰が知っているのでしょうか。githubチームは、MathJaxを削除した理由について公に話し合ったことはありません。 彼らのセットアップにとって実際には問題ではない何かが理由だったとしたら、それは残念なことです。

CSPに準拠するための+1。

+1

私はこのスレッドを読んで、それが非常に情報的でかなり偏りがないことを発見しました。 私は、彼ら[github]がセキュリティの問題でexec、CSPのようなものを防ぎ、それを許可しないだろうという私の主張を賭けるつもりです。

そのコードサンプルと過去のバージョンの神話的なコンピュータの伝承に惑わされていることに加えて、それでも非常に興味深いと思います。そして、機能が継続して使用できるようにする必要があるという立場を取りますが、それは幸せを妨げることはありません。セキュリティ関連の世界でMathJAXを使用するパス。

ちなみに、MathJaxを削除した理由についてGithubサポートにメールを送りました。 返信は次のとおりです。

CSPがその理由の1つでした。 その他の理由には、パフォーマンスの問題、およびハードメンテナンスが含まれます。 削除する理由を取り除いた場合は、追加することを検討するかもしれませんが、それを約束することはできません。

@ketchに感謝します、それは知っておくと良いことです。

@dpvcこれを次のマイルストーンに追加する必要がありますか？

：+1：

@pkra 、追加する予定でした。 まだリストの中でこれほど数値的に下がっていませんでした。

@dpvc右。 これを修正するには、大幅な変更（特にインライン構成の場合）が必要かどうか、つまりバージョンジャンプを強制する必要があるかどうかをほとんど考えていました。

MathJax変数を介した構成を可能にするために行った変更により、ジャンプせずに構成を含めることができるようになります。 下位互換性があり、MathJax.jsの「安全な」バージョンを別途作成しなくても実行できると確信しています。 もちろん、開発中にモンキーレンチを作品に投げ込むような何かが現れる可能性があります。 まだ書かれていないか、テストされていません。

MathJaxを安全にするための+1。 セキュリティ上の懸念から、この素晴らしいライブラリを本番環境で使用できないのは残念です。

この問題に関する進展はありますか？ Chrome拡張機能を備えたページにMathJaxをプログラムで挿入しようとしていますが、レンガの壁ではないにしても、少なくともまともな堅固な壁にぶつかっています。 emichael / texthings＃4で説明されているように、私の最大の問題はMathJax.js:265です。 私はへの呼び出しを排除することができました

new Function()

上記のようにクロージャに変換することで非常に簡単ですが、 evalまたはインラインスクリプトを使用して回避する方法がわかりません。

編集：私はユーザーに安全でない評価と安全でないインラインをCSPに追加するオプションを与えることになりましたが、MathJaxを安全なCSPに追加するための長期的な修正は素晴らしいでしょう。 ：+1：

@emichael 、次のリリース（来月に予定）に変更を含める予定ですが、まだ行っていません。 その理由の1つは、実際にこれをテストする方法（それを必要とする環境をセットアップする方法）を調べていないことです。 どこを見ればよいか、最小限のテスト環境が何であるかについての提案をいただければ、それは役に立ちます。

また、evalに関するエラーは、実行時またはコンパイル時に発生しますか？ つまり、MathJax.jsにeval呼び出しが含まれている場合、それが使用されていない場合でも発生しますか、それともevalが実際に試行された場合にのみ発生しますか？ 私が仕様を読んだことは、それが実行時エラーであるべきだと示唆しており、それは私にとって物事をより良くするでしょうが、あなたは答えを知っているかもしれないと思いました。

テストサーバーがある場合は、応答ヘッダーでContent-Security-Policyを設定するだけです。 script-srcに'unsafe-eval'または'unsafe-inline'が含まれていないことを確認してください（GitHub自体が良い例です）。 そうでない場合は、最小限のChrome拡張機能を使用して、ヘッダーを自分で挿入できます。

ランタイムエラーです。

ありがとう。 何ができるか見ていきます。

evalコマンドは、インライン構成ブロックを処理するためにのみ使用されます（その場合、グローバル変数がどのように処理されるかをテストするための最初のコマンドがあります）。 最初の設定は、インライン構成が使用されるまで延期できます。インライン構成の使用を避ける場合は、それで対処する必要があります。 v2.3では、（この問題を解決するための準備として）evalなしでインライン構成を行う新しい方法を追加したため、eval呼び出しをトリガーせずにHTMLファイル内にMathJax構成を含めることができます。

OK、 new Function()とeval()の呼び出しを削除するパッチを作成しました。 これは最新の開発ブランチに基づいていますが、必要に応じて、f220993にリストされている変更をMathJax.jsのマスターコピーにも加えることができるはずです。 インラインスタイルを許可する必要があります（実際にはそれを回避することはできません）。 about:blankへのフォント参照もあるので、MathJaxは（ネットワークアクセスを行わなくても）欠落しているフォントへの応答をテストできるため、 about:をfont-srcに追加することをお勧めします。

良い！ スタイルに'unsafe-inline'が絶対に必要な理由がわかります。

script-src 'unsafe-inline'権限に関する限り、私が正しく理解していれば、スクリプトは、ユーザーが最初にインラインMathJax構成を含めた場合にのみインライン化されます。 script-srcに'unsafe-inline'がなくてもすべてが機能する可能性があるため、これで問題ありません。 ただし、ドキュメントで言及する必要があります。

インラインスクリプトについてのあなたの理解は正しいです。 使用する必要のないインライン構成ブロックを使用している場合を除き、 script-src 'unsafe-inline'は必要ありません。 ローカルのMathJax構成ファイル（ config=に追加）を使用するか、通常はMathJax.Hub.Config()に渡すオブジェクトにMathJax変数を設定する通常のスクリプトファイルを使用できます。 MathJax.Hub.Config()そして、MathJax.jsをロードするスクリプトの_前_にそのファイルをロードします。 たとえば、

var MathJax = {
  tex2jax: {
    inlineMath: [['$','$'],['\\(','\\)']],
    procesEscapes: true
  }
};

mathjax-config.jsというファイルに入れてから

<script src="mathjax-config.js"></script>
<script src="http://cdn.mathjax.org/mathjax/latest/MathJax.js?config=TeX-AMS_HTML"></script>

それがあなたの要件を処理することを願っています。

確かにそうです。 迅速な修正をありがとう！

それほど速くはなかったと言う人もいますが（この問題は2年間公開されています！）、次のリリースに向けてマークを付けて、とにかくそれに取り掛かっていたので、コメントは次のようになりました。適切な時間。

=>マージされました。

では、誰かがgithubにmathjaxを許可するように依頼したことがありますか？ mathjaxでレンダリングするために、githubの問題でtexを記述できるdotjsファイルを作成することはまだできません...

（ここの例-http：//stackoverflow.com/questions/16889421/how-to-insert-javascript-to-enable-mathjax-on-github-wiki-pages-失敗します。）

こんにちは、

私は現在、githubページでjekyllサイトをホストしており、この記事に従っており、インクルードファイルに以下を追加しています。

<script type="text/javascript"
  src="//cdn.mathjax.org/mathjax/latest/MathJax.js?config=TeX-AMS-MML_HTMLorMML">
</script>

これはhttpsまたはhttpで動作するはずです。 ただし、httpsを使用してブログをブラウザにロードすると、クリックして安全でないスクリプトを許可するまで、ブログが混乱しているように見えます。 どうすればこれを修正できますか？

@silky特定のAFAWKはありません。 クライアント側はありそうもないと思いますが、MathJaxノードは生産的な代替手段を提供する可能性があります。

@ diego898一般的な質問は、 http ：//groups.google.com/forum/#！forum / mathjax-usersでより適切に適合します。 ライブページ、ブラウザ、OSの詳細などへのリンクを常に含めてください。ありがとうございます。

@pkraこの問題に関連するバグなのか、それとも自分の構成の問題なのかわからなかったと理解しています

@ diego898問題ありません。 あなたが説明していることは、この問題に関連しているようには聞こえません。

私はまだこの問題を見ています。 https://github.com/mathjax/MathJax/issues/1988を参照してください。

@kaushalmodi 、問題を回避する方法についての上記の私のコメント、またはあなたがリンクしている問題への私のコメントを参照してください。 スクリプトの実行を制限するCSPを使用している場合は、MathJaxの構成方法を変更する必要があります。

元の問題の（2）は解決されましたか？ mathjaxv3はまだ挿入しているようです