В манифесте Chrome API версии 2 удалена возможность выполнения небезопасной -оценки. Это означает использование функции eval или вообще динамическое создание функции из текста.
Похоже, что большинство, если не все шаблонизаторы Javascript делают это. Я использовал Jaml, но я пробовал несколько других, таких как backbone.js (, который действительно использует механизм шаблонов underscore.js ), но безуспешно.
Этот комментарий к проекту Chromium , по-видимому, указывает на то, что существует очень много библиотек, которые страдают от этого.
Я думаю, что Angular.js имеет безопасный режим CSP -, но Angular.js действительно слишком велик для того, что нам нужно. Нам просто нужен довольно простой механизм шаблонов, и нам не нужны модели, контроллеры и тому подобное. Кто-нибудь знает о каких-либо механизмах шаблонов, совместимых с CSP -?