问题标签 [content-security-policy]

我定义了以下内容安全策略：

如果我将其更改为X-Content-Security-Policy，则将强制执行该策略并发送报告。但是，当我将其设置为 时Report-Only，控制台中不会出现任何策略警告，也不会发送任何报告。

我知道他们不支持的错误，unsafe-inline并且unsafe-eval您必须使用options inline-script eval-script，但我没有在此页面上使用任何一个。

我不知道这是否与它有很大关系，但是标头被发送为X-Content-Security-Policy-Report-Only，但 Firebug 将其转换为x-content-security-policy-report-only- 只需更改大小写。

此外，当同时提供X-Content-Security-Policy和X-Content-Security-Policy-Report-Only如下时：

控制台有一条 WARN 级别的消息：

仅报告 CSP 策略将被忽略，因为应用了其他非仅报告 CSP 策略。

所以它看到了标题，而不是处理它和报告，而是强制执行另一个，它完全放弃了它？

我正在尝试使用 Javascript 设置元素的背景颜色，并且我有一个带有style-src 'self'.

我可以$(el).css("display", "none")从 Javascript 做一些事情，但$(el).css("background-color", "#FFF")由于 CSP 而失败。当我尝试做同样的事情时el.style.backgroundColor = "#FFF"。

#FFF实际上是来自数据库，所以我没有办法将它放入静态 CSS 文件中。有什么方法可以动态设置背景颜色而不允许所有内联样式？

我的第一个 GC 扩展的脚本在加载为 .crx 时不起作用。我检查了调试部分，这是我的错误：

拒绝执行内联事件处理程序，因为它违反了以下内容安全策略指令：“script-src 'self' https://www.lolking.net/ ”。popup.html:8

拒绝执行内联事件处理程序，因为它违反了以下内容安全策略指令：“script-src 'self' https://www.lolking.net/ ”。popup.html:9

所以我猜错误来自 manifest.json 文件：

每个建议都被很好地接受了！

我将这个标题添加到我的响应标题中：

x-content-security-policy default-src 'none';

我希望页面上不会加载任何 CSS 或图像，但所有内容都已加载。我究竟做错了什么？

我正在通过 jQuery 制作 firefox OS webApp。

应用程序类型具有使用 systemXHR 的特权。

所以我在清单文件中定义了权限。应用程序在模拟器上运行良好。

但是当我将应用程序推送到设备并单击任意按钮时，检测到 CSP 错误。

错误：错误：调用 eval() 被 CSP
源文件阻止：app://0cd689b3-a514-4a1c-b1c4-efe372189761/js/jquery-1.9.1.js 行：603

设备信息

• 操作系统版本：1.1.0.0.-prerelease
• 平台版本：18.0
• Git 提交信息：2013-05-01 19:48:40

示例代码是

其他脚本代码在 signin_controller.js 中描述

所以我在清单文件中定义了 csp

我怎样才能避免这个 csp？

我正在尝试更新使用背景页面的现有 chrome 扩展，我在这里找到了一些东西，在这里我没有收到任何错误，但从未显示弹出窗口。我什至试图回到一些旧的 chrome 版本以允许我尝试清单 1 代码，但时间并没有增加。我对所有这些代码感到抱歉，但我不知道问题出在哪里。

清单.json

popup.html

popup.js

背景.js

我有一个 Chrome 扩展程序，它在每个页面上发送带有一些数据的 AJAX POST。

问题是，Facebook 阻止了 AJAX 请求，结果如下：

拒绝连接到“URL_HERE”，因为它违反了以下内容安全策略指令：“connect-src https:// .facebook.com http:// .facebook.com https:// .fbcdn.net http://。 fbcdn.net *.facebook.net .spotilocal.com: https: //.akamaihd.net ws: //.facebook.com:* http://*.akamaihd.net"。

如何在该页面上也向我的服务器发送 AJAX 调用？

我是制作 Chrome 扩展程序的新手，如果有什么可能，请告诉我。我正在使用内容脚本。不确定是否可以对背景页面进行某些操作。

另外，在使用内容脚本时，我可以在 Chrome 扩展程序中使用一些地方来存储数据吗？

我创建了一个 JavaScript 变量，当我单击按钮时，它应该增加 1，但它没有发生。

这是manifest.json.

这是html页面的代码

我希望扩展程序向我显示 a 的值，并在我每次单击扩展程序或按钮时将其增加一

所以，在大约 1 小时内，我的扩展失败了。

我正在做我的扩展，它正在做我假装的事情。我做了一些更改，因为我不喜欢我删除了它们，现在我的扩展程序抛出错误：

拒绝应用内联样式，因为它违反了以下内容安全策略指令：“default-src 'self'”。请注意，'style-src' 没有明确设置，所以 'default-src' 用作后备。

是什么导致了这个错误？

我在以下方面进行了更改：

popup.html

popup.js

这是我的清单文件：

有什么建议吗？

我正在编写一个 chrome 扩展，它需要在其白名单中包含两个域以用于内容安全策略。我查看了官方文档，但我似乎仍然无法弄清楚正确的语法。

以下似乎不起作用：

编辑：

我的内容脚本和弹出窗口都可以访问 foo.com，但是，都无法访问 example.com。

chrome 扩展是否能够在 CSP 中将多个来源列入白名单？