content-security-policy相关内容
Content-Security-Policy HTTP 标头旨在阻止来自不受信任服务器的内联脚本和资源.但是,示例 Google Analytics 代码段取决于两者.这方面的最佳做法是什么? 这是我目前使用的 Content-Security-Policy 标头: default-src 'self';script-src 'self' https://ssl.google-analy
..
不断收到 CSP 错误:“拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self'" 问题可能是由于 GWT 生成的 HTML 文件包含内联 JS. UPD:更改为清单版本 1 有所帮助,但这是临时解决方法,因为 Chrome 21 抱怨不再支持它. UPD2: 也没有帮助 解决方案
..
假设我的网站通过 HTTPS,我需要从 HTTP 加载 CSS 或 Object 资源,我该怎么做? 请注意,我可以将 Content-Security-Policy 添加到 HTTPS 网站的响应标头中,但我不知道该怎么做这.有人可以给我一个解决方案吗? 解决方案 没有解决方案.现代浏览器将拒绝在 https 服务的页面中使用非 https 资源,因为您以这种方式有效地破坏了 ht
..
我有一个使用 localStorage 的网络应用程序.现在我们想通过 iframe 将此 Web 应用程序嵌入到其他(第三方)站点上.我们希望提供一个类似于 youtube 的 iframe 嵌入,以便其他网站可以将我们的网络应用程序嵌入到 iframe 中.从功能上讲,它就好像它不会被嵌入一样.但它不起作用.Chrome 打印错误消息: 未捕获的安全错误:无法从“Window"读取“loca
..
我将 ember-cli 应用程序升级到 0.0.47,现在我的浏览器控制台中出现了一系列与内容安全策略相关的错误.我该如何解决这个问题? 拒绝加载脚本“http://use.typekit.net/abcdef.js",因为它违反了以下内容安全策略指令:“script-src 'self' 'unsafe-eval' localhost:35729".登录:1拒绝执行内联脚本,因为它违反了以下
..
我正在尝试制作广播流 chrome 扩展,但出现问题.当我像普通的 JS+HTML+CSS 一样在浏览器中运行我的脚本时,它可以工作,但是当我尝试像 Chrome 扩展程序一样运行它时,我收到此错误: 拒绝执行内联脚本,因为它违反了以下内容内容安全策略指令:“script-src 'self'chrome-extension-resource:".要么是'unsafe-inline' 关键字
..
我在我的 chrome 扩展中使用了一个外部 JavaScript 库.我有内联执行,所以我得到以下类型的错误 (我在控制台上遇到的错误) 拒绝执行 JavaScript URL,因为它违反了以下内容内容安全策略指令:“script-src 'self'chrome-extension://".要么是'unsafe-inline'关键字,一个哈希('sha256-...') 或 non
..
我正在制作一个 chrome 扩展,但是当我尝试启动 onclick() 事件时,我似乎收到以下错误. 拒绝加载脚本“https://apis.google.com/js/client.js?onload=handleClientLoad",因为它违反了以下内容安全策略指令:“script-src 'self' blob: 文件系统: chrome-extension-resource:" 和
..
这是我的 HTML: PassVault
..
Chrome 18 Dev/Canary 刚刚发布,某些扩展程序的清单中将需要 content_security_policy. 我正在尝试让 CSP 用于内联脚本,但我不知道是我做错了什么还是 Chrome 18 的错误. manifest.json: {"name": "CSP 测试","版本": "1.0",“清单版本":2,"options_page": "test.ht
..
我的 chrome 扩展程序的小问题. 我只是想从另一台服务器获取一个 JSON 数组.但是清单 2 不允许我这样做.我尝试指定 content_security_policy,但 JSON 数组存储在没有 SSL 证书的服务器上. 那么,如果不使用清单 1,我该怎么办? 解决方案 CSP 不能导致你描述的问题.您很可能使用的是 JSONP 而不是普通的 JSON.JSONP
..
我正在制作一个 chrome 扩展程序,它将在新标签页中打开页面上的所有链接. 这是我的代码文件: manifest.json {"name": "点击时改变其图标的浏览器操作.",“版本":“1.1",“权限":["标签", ""],“浏览器动作":{"default_title": "links",//可选;显示在工具提示中"default_popup": "
..
关于内容安全策略指令的 MDN 页面声明了 frame-src已弃用,应使用 child-src.但是,当我尝试使用 child-src 时,Firefox 37 会给出以下错误消息 内容安全策略:无法处理未知指令“child-src" 这种明显缺乏支持的情况没有记录在案(据我所知),这令人沮丧.有没有记录浏览器支持的地方? 目前,除了 child-src 之外,我还在
..
我创建了一个 JavaScript 变量,当我点击按钮时,它应该增加 1,但它没有发生. 这是manifest.json. {"name":"脸书","版本":"1.0","description":"我的 Facebook 个人资料","manifest_version":2,“浏览器动作":{"default_icon":"google-plus-red-128.png","defau
..
我的应用不显示相机图像,而是显示损坏的图像,但对于其他图像(屏幕截图...),我没有遇到这个问题. 这是显示的错误:拒绝加载图像,因为它违反了以下内容安全策略指令:“default-src *".请注意,'img-src' 未明确设置,因此使用 'default-src' 作为后备. 这只发生在相机图像上. 有什么帮助吗? 解决方案 您是否尝试添加这一行:
..
我有一个 Cordova 应用程序,在升级 (5.0.0) 后,我根本无法调用任何资源.我已经添加了白名单插件并将以下标签添加到 index.html
..
我有一个应用,用户可以在其中复制图像 URL,将其粘贴到输入中,然后图像将加载到框上. 但我的应用程序不断触发此消息: 拒绝加载图像“LOREM_IPSUM_URL",因为它违反了以下内容安全策略指令:“img-src 'self' data:". 这是我的元标记: 我在应用程序中使用 html2Canvas,当我删除它时:"img-src 'self' data:"
..
在实现 csp-header 时,我已将我的策略指定为:default-src 'self';script-src www.gstatic.com; 因为我没有在我的 csp 政策中声明 script-src-elem 指令,如 this mdn 文档,我期待为 script-src 也用于 script-src-elem 指令.但是,我看到违规被报告为 "viloated-directive":
..
我对 Jenkins 内容安全政策感到困惑. 我知道这些网站: 配置内容安全策略 内容安全政策参考 我有一个通过 Jenkins Clover 插件显示的 html 页面.此html页面使用内联样式,例如: div 元素将进度条可视化.使用默认的 Jenkins CSP 配置会导致以下结果:Progressbar_FAIL 我想要的结果是这样的:Progressb
..
我正在接受 Cordova 应用程序开发培训,我解决了内容安全策略的问题. 我的应用程序正在使用 Android 模拟器运行,但是当我必须执行 javascript 时,我在 NetBeans(输出窗口)中收到一条消息. 拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令:“script-src 'self' https://ssl.gstatic.com".(22:35:56:1
..