-1

このジンジャー拡張機能をChromeにインストールすると: https://chrome.google.com/webstore/detail/spell-and-grammar-checker/kdfieneakcjfaiglcfcgkidlkmlijjnh?utm_source=chrome-ntp-icon

自分のページを表示します: http://start.funmoods.com/results.php?q=hotel.com&a=undefined&category=web&start=1&fc=br

「ginger」拡張機能をオンにすると上部に表示されるように、ページが低くなります。

なぜ私の csp は、ジンジャーがその html をロードすることを許可したのか知っていますか?

ここに私のcspヘッダーがあります:

Chrome 開発者ボックスで自分で表示できます

Cache-Control:no-cache, must-revalidate Connection:keep-alive Content-Encoding:gzip Content-Security-Policy:default-src ; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com ; frame-src 'self' http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net; font-src 'なし'; connect-src 'self'; media-src '自己'; object-src 'なし'; スタイル-src「自己」; Content-Type:text/html Date:Wed, 06 Nov 2013 09:22:47 GMT Expires:Sat, 26 Jul 1997 05:00:00 GMT Server:nginx Set-Cookie:fm=YT11bmRlZmluZWQmdXJlZj0mY2Q9JmNyPSY%3D; expires=Fri, 06-Dec-2013 09:22:47 GMT Set-Cookie: rs=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%3D%3D; expires=Tue, 27-Oct-2015 09:22:47 GMT Transfer-Encoding:chunked X-Content-Security-Policy:default-src; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com ; フレーム-src '自己' http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net ; font-src 'なし'; connect-src 'self'; media-src '自己'; object-src 'なし'; スタイル-src「自己」; X-WebKit-CSP:default-src ; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com ;.yhs4.search.yahoo.com http://ad.adserver-pro.net ; font-src 'なし'; connect-src 'self'; media-src '自己'; object-src 'なし'; スタイル-src「自己」;

4

1 に答える 1

0

要するに、それは CSP が行うことではないからです。

CSP 処理モデルによると、CSP は、ユーザーがインストールしたブラウザのアドオンや拡張機能の操作を妨げてはなりません。CSP のこの機能により、スクリプトの出所に関係なく、任意のアドオンまたは拡張機能がスクリプトを Web サイトに挿入できるため、CSP ポリシーを免除されます。W3C Web アプリケーション セキュリティ ワーキング グループは、そのようなスクリプトをブラウザによって実装されるトラステッド コンピューティング ベースの一部と見なしています。ただし、この免除は、悪意のある、または侵害されたアドオンまたは拡張機能によって悪用される可能性のある潜在的なセキュリティ ホールであると考える人もいます。

http://en.wikipedia.org/wiki/Content_Security_Policy

于 2013-11-06T09:51:26.633 に答える