问题标签 [content-security-policy]

我正在制作一个 chrome 扩展，它将在新标签页中打开页面上的所有链接。

这是我的代码文件：

清单.json

popup.html

背景.js

最初我想突出显示页面上的所有链接或以某种方式标记它们；但我收到错误“由于内容安全策略而拒绝执行内联脚本”。

当我按下弹出窗口内的按钮时，出现此错误：Refused to execute inline event handler because of Content-Security-Policy.

请帮我修复这些错误，这样我就可以使用我的 chrome 扩展程序在新选项卡中打开所有链接。

我在使用以下 Content-Security-Policy HTTP 标头时尝试使用 TinyMCE：

我在工具 - JavaScript 控制台中收到以下错误：

但是，其中没有可执行的 JS 代码，test.xhtml因为它仅使用外部<script>来处理给定的 CSP 标头。对的引用about:blank也同样无效。

任何想法如何找出违反 CSP 的原因在哪里？

Chrome 的内部 JS 调试器似乎无法识别来源。

此外，由于某种原因，Chrome 在工具 - 开发人员工具 - 网络中将 CSP 违规报告显示为“待处理”，但检查要发送的数据不会提供任何额外信息。例子：

我能够弄清楚错误消息是关于onclick在 TinyMCE 动态加载的一些 HTML 中使用 eg 属性，但是要查找什么文件？另一个错误可能是一段 TinyMCE HTML，其中一些href具有以开头的值，javascript:但如果没有来自 Chrome 的任何指针，也很难找到。整个设置适用于 Firefox 13（使用相应的 CSP 标头）。

有没有办法让 Chrome 为每个 CSP 违规抛出异常？

有没有人能够使用 GWT 和 manifest_version 2 制作 Chrome 扩展程序？我还对所有 GWT 生成的文件进行了沙盒处理（如此处所建议的），但它仍然无法正常工作。

清单.json

背景.js

维沙尔

Chrome API 的 Manifest 版本 2 删除了执行 unsafe-eval 的功能。这意味着使用 eval 函数或通常从文本动态创建函数。

似乎大多数（如果不是全部）Javascript 模板引擎都这样做。我正在使用 Jaml，但我尝试了其他几个，如主干.js（它真的使用 underscore.js 的模板引擎），但没有运气。

对 Chromium 项目的评论似乎表明，有很多库受此影响。

我认为 Angular.js 有一个 CSP 安全模式，但是 Angular.js 对于我们需要的来说实在是太大了。我们只需要一个相当基本的模板引擎，不需要模型或控制器等。有谁知道那里有任何与 CSP 兼容的模板引擎吗？

我需要在此处进行哪些更改，以便 JavaScript 代码与清单版本 2 和安全策略一起使用？

截屏：

代码：

我的 chrome 扩展的小问题。

我只是想从另一台服务器获取一个 JSON 数组。但是清单 2 不允许我这样做。我试过指定content_security_policy，但 JSON 数组存储在没有 SSL 证书的服务器上。

那么，如果不使用清单 1，我该怎么办？

当我尝试加载我的 chrome 扩展时，我一直看到这个错误：

Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self' https://ajax.googleapis.com".

这是我manifest.json的一部分：

在我的整个 javascript 中，我只与https://ajax.googleapis.com通信，并且我已经确保使用Inspect views的Network选项卡。

而且我已经验证了我所有的 javascript 代码都只位于我的.js文件中。（是的，我在必要时使用addEventListener() 。

有什么建议么？

更新：显示导致错误的代码（由 Rob 询问）这是我与任何服务器通信的唯一地方：

I'm actually working on my first Chrome Extension and even if it run smooth i got a lot of error from the get() function i'm using to retrieve some data and an annoying error about the security of the code.

Here's a screenshot of the console log:

Following there's the code involved:

popup.html

popup.js

This script start making a $.get() to a remote web page. The content of the variable data can be found here

Here you can find the HTML after all the manipulation from jquery.

Honestly i cannot understand why these error show, especially the one related to the security. I've not used any inline code in my popup.html.

Manifest.json

The following is a piece of HTML code that will be rendered into the popup window after all the manipulation. All the div is similar to this, just the url changes:

If needed i can provide the full source code.

不断收到 CSP 错误：“拒绝执行内联脚本，因为它违反了以下内容安全策略指令：“script-src 'self'”

问题可能是由于 GWT 生成的 HTML 文件包含内联 JS。

UPD：更改为清单版本 1 有所帮助，但这是一个临时解决方法，因为 Chrome 21 抱怨它将不再受支持。

UPD2： <add-linker name="xsiframe" />也无济于事

这是相对的 Chrome 扩展。我正在尝试一个简单的使用 Google Chart API

我在我的 html 文档“popup.html”中有此代码，该代码在单击图标时加载。

我收到以下消息：

拒绝加载脚本“http://www.google.com/jsapi?key=xxxxxxxxxxx”，因为它违反了以下内容安全策略指令：“script-src 'self' chrome-extension-resource:”。

我知道这是与权限相关的事情，我试图修改我的 Manifest 文件但没有成功：

任何的想法？