<p>MathJax에는 안전하지 않은 "콘텐츠 보안 정책"이 필요합니다.</p>

안전하지 않은 평가는 나에게도 큰 문제입니다. 곧 크롬은 모든 확장 프로그램이 eval 사용을 금지하는 콘텐츠 보안 정책 을 채택하도록 할 것입니다. 우리는 현재 이것을 준수하기 위해 Readium 을 업그레이드하려고 하지만 그렇게 할 수 없고 MathJax를 사용할 수 없습니다.

+1

고마워 얘들아. 살펴보겠습니다.

예비 업데이트일 뿐입니다. 곧 일부 문제를 해결할 수 있을 것 같습니다(크롬 스토어에 충분하기를 바랍니다). 그러나 성능이 어떻게 저하될지 확실하지 않습니다. 짐작할 수 있듯이 나쁠 수 있습니다. @dpvc 가 이것을 더 자세히 살펴보고 실험적인 분기를 만들 수 있을 때 계속 업데이트하겠습니다.

특정 코드에 대한 추가 의견, 질문 및 제안 사항이 있으면 알려주십시오.

나는 그것을 스스로 조사하는 데 약간의 시간을 보냈다. 섣부른 최적화는 그만둬야 할 것 같습니다. 문자열을 평가하는 것은 클로저를 만드는 것보다 빠르지 않습니다.

또한 eval() 를 실행할 수 있는지 확인하기 위해 Mathjax를 로드하는 모든 페이지에서 eval() 를 실행해서는 안 됩니다. 기본적으로 이것은 가야 합니다.

new Function() 호출은 속도가 아니라 메모리입니다. new Function() 는 클로저를 생성하지 않으므로 로컬 범위를 유지하지 않습니다. 이것은 객체 지향 프로그래밍 모델의 핵심이며 사용 중인 객체가 많기 때문에 메모리 사용에 영향을 미칠 수 있습니다. 최근 브라우저에서 테스트를 수행하지 않았습니다.

eval 사용의 경우 MathJax는 인라인 구성 블록을 처리하는 데 이를 사용하며 현재로서는 쉽게 교체할 수 없습니다. 따라서 MathJax의 "안전한" 버전은 외부 구성 파일을 사용해야 합니다(이 파일은 문제가 되지 않으며 보안 정책에 더 부합할 수 있음). 참조하는 eval 호출은 eval 를 실행할 수 있는지 여부를 결정하는 것이 아니라 전역 네임스페이스에서 실행되는지 여부를 결정하는 것입니다(모든 브라우저에서 그렇지는 않음). 귀하의 보안 요구 사항에 맞는 버전의 경우 이 항목을 제거해야 한다는 것을 알고 있습니다.

자바스크립트에서 클로저가 작동하는 방식은 그렇지 않습니다 . 당신은 지역 범위의 모든 것을 붙잡고 있지 않습니다. 함수에서 사용하는 것만 캡처합니다. CONSTRUCTOR 함수는 로컬 범위에서 아무 것도 사용하지 않으며 클로저를 만드는 데 비용이 들지 않습니다. 이것은 존재한 적이 없는 문제에 대한 조기 최적화입니다.

eval 에 관한 한 내 요점은 필요하지 않은 경우, 특히 안전하지 않은 eval() 를 사용하는 코드인 경우 페이지에서 코드를 실행하지 않아야 한다는 것입니다. Mathjax가 인라인 구성에 포함된 경우에만 해당 EVAL 함수를 사용하므로 필요할 때까지 테스트를 실행하지 마십시오. 그러나 실제로 구성이 실행 가능한 코드여야 하는 이유는 무엇입니까? 실제로 함수에 전달되는 JSON 덩어리입니다. JSON을 전달하고 구문 분석하고 MathJAX가 함수를 호출하도록 하지 않는 이유는 무엇입니까?

자바스크립트에서 클로저가 작동하는 방식은 그렇지 않습니다 . 당신은 지역 범위의 모든 것을 붙잡고 있지 않습니다. 함수에서 사용하는 것만 캡처합니다.

나는 상황이 그렇게 명확하지 않다고 생각합니다. 첫째, 이것은 코드의 해당 부분이 작성된 2008년의 경우가 _아닙니다_. 오늘 아침에 테스트를 실행했는데 당시 사용 중인 Safari, Firefox, Opera 및 IE의 버전이 모두 내가 설명한 대로 작동했음을 확인하는 것으로 나타났습니다(사용된 변수에 관계없이 전체 범위 체인이 클로저에 유지되었습니다. ). 이에 대한 내 참조 사이트는 오늘 아침에 다운된 것 같아서(어제 올라옴) 세부 사항을 확인할 수는 없지만 이것이 ECMAScript 262 사양의 일부였던 것으로 기억합니다.

Safari, Chrome, Firefox 및 IE의 현재 버전은 귀하가 설명하는 대로 작동하는 것으로 보이므로 그 이후로 상황이 변경되었습니다. Safari 4, Firefox 3.6 및 IE9에서 변경 사항이 발생한 것 같습니다. 테스트할 Chrome의 이전 버전이 없으므로 거기에 대한 기록을 모릅니다. IE8은 이전 동작을 가지고 있으며 Opera 12는 여전히 동작합니다. 모바일 기기는 확인하지 않았습니다. 이러한 브라우저 중 일부는 MathJax의 지원 목록에 있으므로 일반적으로 MathJax에 대해 고려해야 하는 문제입니다. 물론, 나는 당신의 필요에 맞는 것이 있을 것이라고 확신합니다.

JSON 데이터의 경우 구성 블록은 MathJax.Hub.Config() 호출 이상일 수 있습니다. 예를 들어, 이벤트 리스너를 설치하거나 TeX 입력 jax에 기능을 추가하여 추가 명령을 구현하는 등의 작업을 수행할 수 있습니다. 실행 코드가 포함되어 있으므로 JSON 데이터의 일부가 될 수 없습니다. 이 기능이 항상 사용되는 것은 아니지만 실제 웹 사이트에서 확실히 사용 _is_ 합니다. 또한 모든 대상 브라우저에 JSON 라이브러리가 내장되어 있는 것은 아니므로 구문 분석을 수행하려면 추가 라이브러리가 필요합니다. (물론 극복할 수 없는 것은 아니지만 더 많은 코드를 다운로드해야 합니다.)

이것을 변경하면 +1이 됩니다. 그래서 (무엇보다도) Github이 그들의 위키에서 MathJax를 다시 허용할 것입니다.

@ketch 이와 관련하여 Github에서 언급한 내용이 있습니까? 이 문제가 Github Wiki 보안에 어떻게 영향을 미치는지 모르겠습니다.

@pkra 이것이 원인인지는 확실하지 않지만 그렇다고 생각합니다. 나는 이 페이지에 달린 댓글에 의해 이렇게 되었습니다.

http://stackoverflow.com/questions/16889421/how-to-insert-javascript-to-enable-mathjax-on-github-wiki-pages

그리고 봐라

https://github.com/blog/1477-content-security-policy

MathJax 지원은 CSP 기능을 구현함과 동시에 사라졌습니다.

감사합니다. 흥미롭네요. 두 가지가 관련되어 있는지 확실하지 않지만 누가 알겠습니까? github 팀은 MathJax를 제거한 이유에 대해 공개적으로 논의한 적이 없습니다. 실제로 설정에 문제가 되지 않는 것이 이유였다면 불행할 것입니다.

CSP 준수를 위해 +1.

+1

이 스레드를 읽고 매우 정보가 풍부하고 상당히 편향되지 않은 것으로 나타났습니다. 나는 그들이 [github]가 보안 문제에 대해 exec, CSP와 같은 것을 방지하고 허용하지 않을 것이라는 내 주장을 펼칠 것입니다.

그 코드 샘플과 과거 버전에 대한 신화적인 컴퓨터 지식에 의해 어리둥절하는 것 외에도 나는 그것이 매우 흥미롭고 계속해서 사용할 수 있도록 해야 한다는 입장을 취합니다. 보안 관련 세계에서 MathJAX를 사용하는 경로.

그건 그렇고, 나는 왜 MathJax를 중단했는지에 대해 Github 지원팀에 이메일을 보냈습니다. 답변은 다음과 같습니다.

CSP가 그 이유 중 하나였습니다. 다른 이유에는 성능 문제와 어려운 유지 관리가 포함되었습니다. 제거해야 하는 이유를 제거하면 다시 추가하는 것을 고려할 수 있지만 약속할 수는 없습니다.

@ketch 감사합니다. 알게 되어서 좋습니다.

@dpvc 이것을 다음 이정표에 추가해야 합니까?

:+1:

@pkra , 추가할 계획이었습니다. 아직 목록에서 숫자가 이렇게 많이 줄어들지 않았습니다.

@dpvc 맞습니다. 이 문제를 수정하려면 상당한 변경(특히 인라인 구성 wrt)이 필요한지, 즉 버전 점프가 필요한지 가장 궁금했습니다.

MathJax 변수를 통한 구성을 허용하기 위해 변경한 사항은 점프 없이 변수를 포함할 수 있도록 해야 합니다. MathJax.js의 별도 "안전한" 버전을 만들 필요 없이 하위 호환성을 사용하여 이 작업을 수행할 수 있다고 확신합니다. 물론 개발 중에 작업에 원숭이 렌치를 던지는 무언가가 나타날 수 있습니다. 아직 작성되거나 테스트되지 않았습니다.

MathJax를 안전하게 만드는 데 +1입니다. 보안 문제로 인해 프로덕션 환경에서 이 멋진 라이브러리를 사용할 수 없다는 것이 너무 아쉽습니다.

이 문제에 진전이 있습니까? 저는 프로그래밍 방식으로 MathJax를 Chrome 확장 프로그램이 있는 페이지에 주입하려고 하고 있으며 벽돌 벽이 아니라면 적어도 상당히 견고한 벽을 치고 있습니다. emichael/textthings#4에 설명된 대로 지금 가장 큰 문제는 MathJax.js:265 입니다. 에 대한 호출을 제거할 수 있었습니다.

new Function()

위에서 설명한 대로 클로저로 변환하여 꽤 쉽게 만들 수 있지만 eval 또는 인라인 스크립트를 사용하는 방법에 대한 단서가 없습니다.

편집: 결국 사용자에게 unsafe-eval 및 unsafe-inline을 CSP에 추가할 수 있는 옵션을 제공했지만 MathJax를 안전한 CSP로 가져오기 위한 장기적인 수정은 좋을 것입니다. :+1:

@emichael , 다음 릴리스(다음 달 예정)에 변경 사항을 포함할 계획이지만 아직 적용하지 않았습니다. 한 가지 이유는 실제로 이것을 테스트하는 방법(필요한 환경을 설정하는 방법)을 살펴보지 않았기 때문입니다. 어디를 봐야할지 또는 최소한의 테스트 환경이 무엇인지 제안해 주시면 도움이 될 것입니다.

또한 eval에 대한 오류는 런타임 또는 컴파일 시간에 발생합니까? 즉, MathJax.js가 사용하지 않았음에도 단순히 eval 호출을 포함하면 발생합니까, 아니면 실제로 eval이 시도될 때만 발생합니까? 사양을 읽은 결과 런타임 오류가 발생하여 상황이 더 나아질 것이라고 제안했지만 답을 알고 있을 거라고 생각했습니다.

테스트 서버가 있는 경우 응답 헤더에 Content-Security-Policy를 설정할 수 있습니다. script-src 에 'unsafe-eval' 또는 'unsafe-inline' $가 포함되지 않는지 확인하십시오(GitHub 자체가 좋은 예임). 그렇지 않은 경우 최소한의 Chrome 확장 프로그램을 사용하여 헤더를 직접 삽입할 수 있습니다.

런타임 오류입니다.

감사 해요. 내가 무엇을 할 수 있는지 알아볼 게.

eval 명령은 인라인 구성 블록을 처리하는 데만 사용됩니다(이 경우 전역 변수가 처리되는 방법을 테스트하기 위한 초기 구성이 있음). 초기 설정은 인라인 구성이 사용될 때까지 연기될 수 있으며 인라인 구성을 사용하지 않는 경우 처리해야 합니다. v2.3에서는 eval 없이 인라인 구성을 수행하는 새로운 방법을 추가했습니다(이 문제를 해결하기 위한 준비). 따라서 eval 호출을 트리거하지 않고도 HTML 파일에 MathJax 구성을 계속 포함할 수 있습니다.

알겠습니다. new Function() 및 eval() 호출을 제거하는 패치를 만들었습니다. 최신 개발 브랜치를 기반으로 하지만 f220993에 나열된 변경 사항은 필요한 경우 MathJax.js 의 마스터 복사본에도 적용할 수 있어야 합니다. 인라인 스타일을 허용해야 합니다. MathJax가 누락된 글꼴에 대한 응답을 테스트할 수 있도록 about:blank 에 대한 글꼴 참조도 있으므로(네트워크 액세스를 만들지 않고도) about: 를 font-src 에 추가할 수 있습니다.

멋진! 스타일에 'unsafe-inline' 가 필요한 이유를 알 수 있습니다.

script-src 'unsafe-inline' 권한이 있는 한, 내가 올바르게 이해한다면 사용자가 시작할 인라인 MathJax 구성을 포함할 때만 스크립트가 인라인됩니다. script-src 'unsafe-inline' 없이 모든 것이 여전히 작동할 수 있기 때문에 이것은 괜찮을 것입니다. 그러나 문서에서 언급해야 합니다.

인라인 스크립트에 대한 이해가 정확합니다. 사용할 필요가 없는 인라인 구성 블록을 사용하지 않는 한 script-src 'unsafe-inline' 가 필요하지 않습니다. 로컬 MathJax 구성 파일( config= 에 추가됨)을 사용하거나 MathJax 변수를 일반적으로 MathJax.Hub.Config() 에 전달하는 개체로 설정하는 일반 스크립트 파일을 사용할 수 있습니다.

var MathJax = {
  tex2jax: {
    inlineMath: [['$','$'],['\\(','\\)']],
    procesEscapes: true
  }
};

mathjax-config.js 라는 파일에 넣은 다음

<script src="mathjax-config.js"></script>
<script src="http://cdn.mathjax.org/mathjax/latest/MathJax.js?config=TeX-AMS_HTML"></script>

그것이 귀하의 요구 사항을 처리하기를 바랍니다.

정말입니다. 빠른 수정 감사합니다!!

그다지 빠르지 않다고 말하는 사람들이 있습니다(이 문제는 2년 동안 공개되었습니다!). 하지만 저는 다음 릴리스로 표시해 두었고 어쨌든 이제 막 결론을 내리려고 했기 때문에 귀하의 의견은 다음과 같습니다. 적절한 시간.

=> 병합되었습니다.

그래서 아직 Mathjax를 허용하도록 github에 요청한 사람이 있습니까? Mathjax로 렌더링하기 위해 github 문제에서 tex를 작성할 수 있는 dotjs 파일을 작성하는 것은 여전히 ​​불가능합니다...

(여기 예제 - http://stackoverflow.com/questions/16889421/how-to-insert-javascript-to-enable-mathjax-on-github-wiki-pages - 실패)

안녕하세요,

저는 현재 github 페이지에 jekyll 사이트를 호스팅하고 있으며 이 기사 를 따르고 있으며 다음을 포함 파일에 추가했습니다.

<script type="text/javascript"
  src="//cdn.mathjax.org/mathjax/latest/MathJax.js?config=TeX-AMS-MML_HTMLorMML">
</script>

https 또는 http와 함께 작동해야 합니다. 그러나 모든 곳에서 https가 있는 브라우저에서 내 블로그를 로드할 때 안전하지 않은 스크립트를 허용하도록 클릭할 때까지 엉망으로 보입니다. 이 문제를 해결하려면 어떻게 해야 하나요?

@silky 특정한 AFAWK가 없습니다. 클라이언트 측은 가능성이 낮지만 MathJax-node는 생산적인 대안을 제공할 수 있다고 생각합니다.

@diego898 일반적인 질문은 http://groups.google.com/forum/#!forum/mathjax -users에서 더 잘 맞습니다. 항상 라이브 페이지, 브라우저 및 OS 사양 등에 대한 링크를 포함하십시오. 감사합니다.

@pkra 나는 그것이 이 문제와 관련된 버그인지, 아니면 내 구성 문제인지 확신하지 못했다는 것을 이해합니다.

@diego898 문제없습니다. 귀하가 설명하는 내용은 이 문제와 관련이 없는 것 같습니다.

이 문제가 계속 표시됩니다. https://github.com/mathjax/MathJax/issues/1988을 참조하십시오.

@kaushalmodi , 문제를 피하는 방법에 대한 위 의 내 설명 또는 링크한 문제에 대한 내 설명을 참조하세요. 스크립트 실행을 제한하는 CSP를 사용하는 경우 MathJax를 구성하는 방법을 변경해야 합니다.

원래 문제의 (2)가 해결된 적이 있습니까? Mathjax v3가 여전히 삽입하는 것 같습니다.