问题标签 [content-security-policy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
firefox - X-Content-Security-Policy-Report-Only 在 Firefox 20 中不起作用
我定义了以下内容安全策略:
如果我将其更改为X-Content-Security-Policy,则将强制执行该策略并发送报告。但是,当我将其设置为 时Report-Only,控制台中不会出现任何策略警告,也不会发送任何报告。
我知道他们不支持的错误,unsafe-inline并且unsafe-eval您必须使用options inline-script eval-script,但我没有在此页面上使用任何一个。
我不知道这是否与它有很大关系,但是标头被发送为X-Content-Security-Policy-Report-Only,但 Firebug 将其转换为x-content-security-policy-report-only- 只需更改大小写。
此外,当同时提供X-Content-Security-Policy和X-Content-Security-Policy-Report-Only如下时:
控制台有一条 WARN 级别的消息:
仅报告 CSP 策略将被忽略,因为应用了其他非仅报告 CSP 策略。
所以它看到了标题,而不是处理它和报告,而是强制执行另一个,它完全放弃了它?
css - 内容安全策略生效时使用 JS 应用样式
我正在尝试使用 Javascript 设置元素的背景颜色,并且我有一个带有style-src 'self'.
我可以$(el).css("display", "none")从 Javascript 做一些事情,但$(el).css("background-color", "#FFF")由于 CSP 而失败。当我尝试做同样的事情时el.style.backgroundColor = "#FFF"。
#FFF实际上是来自数据库,所以我没有办法将它放入静态 CSS 文件中。有什么方法可以动态设置背景颜色而不允许所有内联样式?
google-chrome-extension - manifest.json 文件中的 CSP 问题
我的第一个 GC 扩展的脚本在加载为 .crx 时不起作用。我检查了调试部分,这是我的错误:
拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令:“script-src 'self' https://www.lolking.net/ ”。popup.html:8
拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令:“script-src 'self' https://www.lolking.net/ ”。popup.html:9
所以我猜错误来自 manifest.json 文件:
每个建议都被很好地接受了!
http - 内容安全策略不起作用
我将这个标题添加到我的响应标题中:
x-content-security-policy default-src 'none';
我希望页面上不会加载任何 CSS 或图像,但所有内容都已加载。我究竟做错了什么?
jquery - Firefox os 特权应用程序错误:调用 eval() 在 jquery 1.9.1 中被 csp 阻止
我正在通过 jQuery 制作 firefox OS webApp。
应用程序类型具有使用 systemXHR 的特权。
所以我在清单文件中定义了权限。应用程序在模拟器上运行良好。
但是当我将应用程序推送到设备并单击任意按钮时,检测到 CSP 错误。
错误:错误:调用 eval() 被 CSP
源文件阻止:app://0cd689b3-a514-4a1c-b1c4-efe372189761/js/jquery-1.9.1.js 行:603
设备信息
- 操作系统版本:1.1.0.0.-prerelease
- 平台版本:18.0
- Git 提交信息:2013-05-01 19:48:40
示例代码是
其他脚本代码在 signin_controller.js 中描述
所以我在清单文件中定义了 csp
我怎样才能避免这个 csp?
ajax - Chrome 扩展中 Facebook.com 上的 POST 请求失败
我有一个 Chrome 扩展程序,它在每个页面上发送带有一些数据的 AJAX POST。
问题是,Facebook 阻止了 AJAX 请求,结果如下:
拒绝连接到“URL_HERE”,因为它违反了以下内容安全策略指令:“connect-src https:// .facebook.com http:// .facebook.com https:// .fbcdn.net http://。 fbcdn.net *.facebook.net .spotilocal.com: https: //.akamaihd.net ws: //.facebook.com:* http://*.akamaihd.net"。
如何在该页面上也向我的服务器发送 AJAX 调用?
我是制作 Chrome 扩展程序的新手,如果有什么可能,请告诉我。我正在使用内容脚本。不确定是否可以对背景页面进行某些操作。
另外,在使用内容脚本时,我可以在 Chrome 扩展程序中使用一些地方来存储数据吗?
javascript - Chrome 扩展弹出窗口不起作用,点击事件未处理
我创建了一个 JavaScript 变量,当我单击按钮时,它应该增加 1,但它没有发生。
这是manifest.json.
这是html页面的代码
我希望扩展程序向我显示 a 的值,并在我每次单击扩展程序或按钮时将其增加一
javascript - 拒绝应用内联样式,因为它违反了以下内容安全策略指令
所以,在大约 1 小时内,我的扩展失败了。
我正在做我的扩展,它正在做我假装的事情。我做了一些更改,因为我不喜欢我删除了它们,现在我的扩展程序抛出错误:
拒绝应用内联样式,因为它违反了以下内容安全策略指令:“default-src 'self'”。请注意,'style-src' 没有明确设置,所以 'default-src' 用作后备。
是什么导致了这个错误?
我在以下方面进行了更改:
popup.html
popup.js
这是我的清单文件:
有什么建议吗?
google-chrome-extension - 在内容安全策略中将多个域列入白名单
我正在编写一个 chrome 扩展,它需要在其白名单中包含两个域以用于内容安全策略。我查看了官方文档,但我似乎仍然无法弄清楚正确的语法。
以下似乎不起作用:
编辑:
我的内容脚本和弹出窗口都可以访问 foo.com,但是,都无法访问 example.com。
chrome 扩展是否能够在 CSP 中将多个来源列入白名单?