问题标签 [content-security-policy]

CSP 使用可以托管内容的域白名单。

这可以与使用联盟营销的网站一起使用吗？通常在“订单已完成”页面上有一个 iframe，其中包含一个由附属合作伙伴控制的脚本。

可以将附属脚本的域列入白名单，但我无法控制脚本的作用：我很确定它会加载其他不是白名单的内容。

是否有人对附属脚本和 CSP 有好的或不好的经验？

我的扩展需要动态加载代码。我写这个来加载它 -

这是我在 manifest.js 中的安全策略 -

这会引发一个 javascript 错误 -

我的问题是 - 为什么不放松？我特别在 manifest 中添加了该行以允许不安全的 evals 。

“谷歌扩展网络应用”

让我疯狂。

我无法让 unsafe-eval 和远程脚本同时工作。

我可以进行不安全的评估，但删除脚本不起作用。反之亦然。

什么失败了：

评估和远程

"content_security_policy": "script-src https://connect.facebook.net 'unsafe-eval'; object-src 'self' "

什么有效：

仅远程

"content_security_policy": "script-src 'self' https://connect.facebook.net; object-src 'self' "

仅评估

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self' "

如何两者兼得？

在 Chrome 扩展程序中，以下代码

抛出此错误

尽管我在 manifest.js 中有这一行

有什么想法为什么会抛出这个错误？

我在 manifest.json 中使用以下行制作了 chrome 扩展，以便我可以通过 ajax 请求获取数据。

"content_security_policy": "script-src 'self' http://localhost; object-src 'self'",

我想用我的实时站点测试扩展，所以我将其更改为：

"content_security_policy": "script-src 'self' http://www.example.com; object-src 'self'",

但是现在当我启动 chrome 时扩展程序没有初始化。

建议对具有以下内容的 HTML5 页面使用什么内容安全策略：

1) Facebook 插件

2) 推特插件

3) 谷歌加一

4) 谷歌翻译

6) 来自 cdn.mywebsite.com

7) 优酷

我收到很多错误，如下所示：

我正在使用 YouTube 视频 iframe 和许多社交小部件，包括 Pinterest API 等。需要你的帮助。

当使用Content-Security-Policy的仅报告模式时，Chrome 不再执行eval()。

对于以下示例，我希望获得 2 个报告（一个用于内联脚本，一个用于eval），并且还会看到一个弹出窗口。但只有 2 个报告显示在控制台中。

是我使用了错误的 CSP 还是 Chrome 中的 CSP 仅报告模式存在错误？

我想知道规范中的引用：（https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html）

为了获得最大的好处，作者需要将所有内联脚本和样式移到外部脚本中，例如移到外部脚本中，因为用户代理无法确定内联脚本是否被攻击者注入。

找出所有内联脚本是一项耗时的任务。

我的问题是从安全的角度来看的。通过将所有内联脚本（例如 JavaScript）提取到外部源，您真的可以获得任何安全优势吗？

谢谢

我正在使用 JavaScript 和画布开发游戏。最近，自从我实现点击后，我一直在萤火虫中收到这条消息：

CSP 警告：不推荐使用允许指令，请改用等效的默认源指令

完全不影响游戏，但我想知道这是什么意思？它最终会影响我的游戏吗？

我在网上找到了这个，但我无法理解它，我不完全确定它是否在谈论我收到的相同消息

关联

谢谢

I added the following lines to my .htacces file:

But I always got the following error:

I don't get it. Which Apache module do I have to activate? What's wrong with these lines?

Thx, David