http://content-security-policy.com/
Пока в заголовке Content-Security-Policy не укажешь значение unsafe-eval, new Function будет блокироваться и выбрасывать исключение:
|
Цитата:
|
|
Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'"
|