问题标签 [content-security-policy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-chrome-extension - 如何在 Chrome 插件中将多个域添加到 content_security_policy?
我正在开发一个 Chrome 插件,其中从多个域加载外部脚本。我已经查看了有关如何允许这些域的文档和一些教程。
我检查过的文档:
- http://developer.chrome.com/extensions/contentSecurityPolicy.html
- http://www.html5rocks.com/en/tutorials/security/content-security-policy/
- http://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html#syntax
一切都是一样的,我在 manifest.json 中创建了这条规则:
对此 Chrome 做出以下回应:
当然,我尝试了几种组合,但都失败了。只有当我只使用一个域时它才有效。我怎样才能添加更多?
security - 内容安全策略的 connect-src 指令是否允许您进行跨域请求?
在您的内容安全策略中指定connect-src指令是否会放宽浏览器的同源策略并允许您进行跨源 XHR 请求?还是该指令仅用于限制已经合法的 XHR(即同源呼叫或 CORS 启用的呼叫)?
javascript - 如何删除内容安全策略的不安全内联代码?
我想使用内容安全策略并使我的 Django Web 应用程序安全,而没有任何不安全的内联代码。但是,虽然将大部分 JavaScript 代码移动到外部文件很容易,但我也有一段我不知道修复的内联代码。我正在使用 Django,并且我在 Django 模板上下文中有一些变量,我想将其 pqww 转换为 JavaScript。所以目前我只是将它作为内联 JavaScript 输出。但由于 CSP,这不起作用。
javascript - Chrome Web App:无法在游戏循环中执行功能
我是 Chrome Web Apps 的初学者,正在尝试将 Bump'n'Jump 的 JavaScript/HTML5 克隆打包为打包应用程序。我遇到了 Chrome 的安全策略:
它拒绝运行setTimeout("pump()", time_diff);,说
该错误与代码无关,因为它在浏览器中的 Chrome 之外运行,Chrome 的安全性似乎不喜欢它。谁能告诉我为什么它不想运行pump()?
javascript - 由于内容安全策略,谷歌地图 api 脚本确实加载
我正在制作一个谷歌浏览器扩展,我想在其中使用谷歌地图。问题是当我运行我的脚本时它给了我这个错误
这是我的清单文件
}
我正在添加这样的脚本
为什么我一次又一次地收到这个错误?请帮忙...
更新一
我将这两个权限添加到清单文件但仍然无法正常工作
更新二
我也使用了这种 content_security_policy
但以上对我也不起作用
google-chrome-extension - Chrome 扩展清单版本 2 API 调用错误
当我尝试连接到 StackOverflow API 以获取数据时出现以下错误:拒绝加载脚本
因为它违反了以下内容安全策略指令:"script-src 'self' 'unsafe-eval'".
这是我的清单文件:
我没有任何内联脚本。
知道我在这里缺少什么吗?
jquery - jquery库中的“不允许从字符串生成代码”
我正在尝试修改我的网络软件以使用内容安全策略。当我没有它编译时,一切运行良好。当我包含 CSP 标头时,Chrome 会在两个地方标记错误(使用 Chrome 开发人员工具):
- 每个 ASPX 或 HTML 文件的第一行中出现“拒绝执行内联脚本,因为它违反了内容安全策略...”错误 - 即使没有内联 JavaScript!
- “此上下文不允许从字符串生成代码”错误 - 这在 jquery-1.8.3.min.js 文件中有所说明,但似乎源自我编写的一些 JQuery,我在其中迭代来自 a 的数据用于在页面上生成项目的 Web 服务。
所以,有两个问题:为什么我总是被告知每个文件都是违规的,即使它只是一个纯静态 HTML 文件?
其次,内容安全真的意味着我在使用 JQuery 生成 html 时不能使用字符串——即使它位于专用的 .js 文件中?我查看了整个网络上的信息,但这个特定问题确实没有得到解决。那么......这里的规则是什么?
我真正想要的是防止 A) 内联 JavaScript 和 B) 加载外部 JS 文件。
任何帮助将不胜感激!
更新:当我将 JQuery/JQueryUI 升级到 1.8.2 / 1.9.1 时,字符串错误消失了。我之前使用的版本只有一个月大,所以这似乎是 JQuery 的最新改进。虽然我也一直在进行其他更改,但我不能确定这是 JQuery,但如果可以的话,使用更新的 JQuery 是有意义的。
jquery - jQuery 在 Google Chrome 扩展中的使用
我正在创建一个遵循清单 2 准则的 Chrome 扩展程序。我已经为此工作了几个小时,但无法弄清楚如何让 jquery 在网页内运行,以便我可以使用它来为页面上的元素设置动画。(具体使用slideUp()函数)
这是 manifest.json
这是 main.js
这是options.html
这是options.js:
这是我得到的错误:
非常感谢您的时间和帮助,
莱纳多
google-chrome - manifest.json 中 content_security_policy 中的多个端口
我需要在我的 chrome 扩展中监听多个端口。
我的 manifest.json content_security_policy行是:
天呐!
web - 为什么我的内容安全策略在除 Safari 之外的任何地方都有效
我已将我的安全策略定义为:
(我仍然在几页的开头有 CSS)。
我对 Firefox 或 Chrome 没有任何问题(IE 还不支持 CSP),但是,当我尝试在 Safari 中进行测试时,我收到了一系列错误,例如:
图片应该被 default-src 覆盖,另外两个被列为“Self”,所以我不知道为什么 Safari 不接受我的图片和脚本。我没有 Mac,所以我在 Windows (5.1.7) 上使用 Safari。
有任何想法吗?谢谢!