In der Manifest-Version 2 der Chrome-API wurde die Möglichkeit zur Durchführung von Unsafe-Eval entfernt. Dies bedeutet, die eval-Funktion zu verwenden oder im Allgemeinen eine Funktion dynamisch aus Text zu erstellen.

Es scheint, als ob die meisten, wenn nicht alle Javascript Templating Engines dies tun. Ich habe Jaml benutzt, aber ich habe einige andere wie backbone.js (die wirklich die Template-Engine von underscore.js verwenden) ohne Erfolg ausprobiert.

Dieser Kommentar zum Chromium-Projekt scheint darauf hinzudeuten, dass es sehr viele Bibliotheken gibt, die darunter leiden.

Ich denke, Angular.js hat einen CSP-sicheren Modus, aber Angular.js ist wirklich zu groß für das, was wir brauchen. Wir brauchen nur eine relativ einfache Template-Engine und keine Modelle oder Controller und so weiter. Kennt jemand irgendwelche CSP-kompatiblen Templating-Engines?