angularjs的csp旁路问题是否也会影响Angular2？
从…起https://storage.googleapis.com/pub-tools-public-publication-data/pdf/45542.pdf
为了实现它的目标，angularjs解析页面指定部分的模板并执行它们。控制angular解析的模板的能力可以被认为等同于执行任意javascript。默认情况下，angular使用eval（）函数来计算沙盒表达式，如果没有不安全的eval关键字，csp策略将禁止使用该函数。然而，angular还附带了一个“csp兼容模式”（ng csp），在该模式中，表达式通过执行符号执行来进行计算，从而可以在csp之外调用任意javascript代码。
因此，可以从csp中列出的域加载angular库的攻击者可以将其用作js小工具来绕过脚本执行保护。即使受攻击的应用程序不使用angular本身，这也是可能的——唯一的要求是angular库托管在脚本src中列出的一个域上。因此，仅在受信任域中存在任何Angular 库都会破坏csp提供的保护。”