Manifestowa wersja 2 interfejsu API Chrome usunęła możliwość wykonywania niebezpiecznych operacji. Oznacza to używanie funkcji eval lub generalnie dynamiczne tworzenie funkcji z tekstu.

Wydaje się, że większość, jeśli nie wszystkie silniki Javascript Templating to robią. Korzystałem z Jaml, ale próbowałem kilku innych, takich jak backbone.js (który naprawdę używa silnika szablonów underscore.js) bez powodzenia.

Ten komentarz do projektu Chromium wydaje się wskazywać, że wiele bibliotek cierpi z tego powodu.

Myślę, że Angular.js ma tryb bezpieczny dla CSP, ale Angular.js jest naprawdę za duży na to, czego potrzebujemy. Potrzebujemy dość podstawowego silnika szablonów i nie potrzebujemy modeli ani kontrolerów i tym podobnych. Czy ktoś wie o silnikach szablonów zgodnych z CSP?