0

我发现cobalt只能打开Youtube页面,并且可以NOT打开URL而不需要Content-Security-Policy在响应数据或html页面(eg <meta http-equiv="Content-Security-Policy" content="object-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'">)中设置,那么是否有任何CSP配置支持不Content-Security-Policy设置的URL也可以打开?

内容安全策略规范: https ://www.w3.org/TR/CSP2/

4

1 回答 1

1

这是一个有意的安全功能,因为 Cobalt 旨在运行应用程序,而不是一般的 Web 浏览。可以使用命令行开关禁用它--csp_mode=disable,但在黄金版本中禁用。

CSP 本身仅适用于与策略关联的页面。一旦您导航到另一个页面,只要当前页面的策略允许导航,该策略就会被丢弃并替换为下一页的策略。但是没有办法使用 CSP 来禁用 CSP 要求强制。

于 2017-02-10T07:19:17.250 回答