-1

当我在 chrome 上安装此生姜扩展程序时: https ://chrome.google.com/webstore/detail/spell-and-grammar-checker/kdfieneakcjfaiglcfcgkidlkmlijjnh?utm_source=chrome-ntp-icon

我查看我的页面: http ://start.funmoods.com/results.php?q=hotel.com&a=undefined&category=web&start=1&fc=br

正如您在“ginger”扩展打开时在顶部看到的那样,页面降低了。

你知道为什么我的 csp 允许姜加载它的 html 吗?

这是我的 csp 标头:

你可以在chrome developer box中自己查看

Cache-Control:no-cache, must-revalidate Connection:keep-alive Content-Encoding:gzip Content-Security-Policy:default-src ; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com;frame-src 'self' http: //.yhs4.search.yahoo.com http://ad.adserver-pro.net; font-src '无' ; 连接源代码“自我”;媒体源“自我”;对象源“无”;样式-src 'self' ; 内容类型:文本/html 日期:格林威治标准时间 2013 年 11 月 6 日星期三 09:22:47 到期:格林威治标准时间 1997 年 7 月 26 日星期六 05:00:00 服务器:nginx 设置 Cookie:fm=YT11bmRlZmluZWQmdXJlZj0mY2Q9JmNyPSY%3D;expires=Fri, 06-Dec-2013 09:22:47 GMT Set-Cookie: rs=WyJiYXIgcmVmYWVsaSIsImFzZGFzZCBhc2RhcyBkYXNkYXNkYXNhc2Rhc2QiLCJhc2Rhc2QgYXNkYXMgZGFzZGFzZGFzYXNkYXNkIGFzZCBzYSB6eGN2IGRnaCBydCBmc2RhZiBhc2RnIGFnIHNkZmdhc2ZnIiwiYXNkYXNkIGFzZGFzIGRhc2Rhc2Rhc2FzZGFzZCBhc2Qgc2EgenhjdiBkZ2ggcnQgZnNkYWYgYXNkZyBhZyBzZGZnYXNmZyBhcyBnZmpramJrb3BnIGZnamtsO2RmamdydGVyIiwiYXNkYXNkIGFzZGFzIGRhc2Rhc2Rhc2FzZGFzZCBhc2Qgc2EgenhjdiBkZ2ggcnQgZnNkYWYgYXNkZyBhZyBzZGZnYXNmZyBhcyBnZmpramJrb3BnIGZnamtsO2RmamdydGVyIHZiY2J4aHl0dXl1aXJ0aXlydGlvZXIiLCIhQCQlQCNAIyQlIyReIiwiaG90ZWwiLCJob3RlbC5jb20iXQ%3D%3D; expires=Tue, 27-Oct-2015 09:22:47 GMT Transfer-Encoding:chunked X-Content-Security-Policy:default-src; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com;frame-src 'self' http: //.yhs4.search.yahoo.com http://ad.adserver-pro.net ; font-src '无' ; 连接源代码“自我”;媒体源“自我”;对象源“无”;样式-src 'self' ; X-WebKit-CSP:default-src ; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com.yhs4.search.yahoo.com http://ad.adserver-pro.net;font-src '无' ; 连接源代码“自我”;媒体源“自我”;对象源“无”;样式-src 'self' ;

4

1 回答 1

0

简而言之:因为这不是 CSP 所做的。

根据 CSP 处理模型,CSP 不应干扰用户安装的浏览器插件或扩展程序的操作。CSP 的此功能有效地允许任何附加组件或扩展将脚本注入网站,无论该脚本的来源如何,因此不受 CSP 策略的约束。W3C Web 应用程序安全工作组认为此类脚本是浏览器实现的可信计算库的一部分;但是,有些人认为这种豁免是一个潜在的安全漏洞,可能会被恶意或受损的附加组件或扩展程序利用。

http://en.wikipedia.org/wiki/Content_Security_Policy

于 2013-11-06T09:51:26.633 回答