問題タブ [content-security-policy]

Sandboxing Eval Docから参照されている完全な例を誰もが知っています

Google Chrome (21.0.1180.89) に更新した後、開発者タブに多くのエラーが表示されることに気付きました。特に、自分の phpMyAdmin サイトにアクセスした場合。

すべて同じで、クロスサイト スクリプティングに対するある種のセキュリティがあります。解決するために私にできることはありますか？

私はChromeアプリケーションを更新してmanifest_versionいて、で少し苦労していますcontent_security_policy。彼らはインラインjsや非常に多くのもののサポートを停止しました。マニフェストに次の行を追加して、この制限を緩和したかった

解凍した拡張機能をChromeから読み込もうとすると、エラーメッセージが表示されます Invalid value for content_security_policy。皮肉なことに、私はChrome拡張機能に関するGoogleの開発者向けドキュメントからこの行をコピーしました（plzは「評価されたJavascript」のセクションを参照してください）

編集：マニフェストバージョン2ではサポートされていない Googleスレッドの状態unsafe-eval。jqueryや、私が思うに必要な同様のスクリプトをどのように使用すればよいでしょうunsafe-evalか。

Chrome のコンテンツ セキュリティ ポリシーの変更を考慮して、すべてのスクリプトを別のファイルに移動し、Chrome 拡張機能の HTML ページ (背景とポップアップ) でそれらを参照しています。しかし、私はまだ次のメッセージを受け取ります

これは私の背景ページです

インライン js がないことがわかりますが、エラー メッセージはそこまでです。コードの何が問題で、どうすれば修正できますか?

注:マニフェスト バージョン 2 と chrome バージョン 21.0.1180.89 を使用しています。

ありがとう

Chrome 拡張機能内から、Facebook ログイン サンプル コードを使用してタブを開こうとしています。これまでのところ、この例ではまっすぐなチュートリアル コードを使用しています。

タブは適切に開きますが、クロスサイト セキュリティ ポリシーの問題により、Facebook の JavaScript の読み込みに失敗し、インライン スクリプト エラーも表示されます。メッセージ？）

この種のことを適切に行う方法をどこで学べますか?

エラー:

background.js:

popup.html: //Facebook API ドキュメントのサンプル ログイン コード

popup.js://facebook dev のサンプル コード

Chrome拡張機能に取り組んでおり、localhost開発用にからスクリプトをロードしたいと考えていました。そこで、マニフェストファイルを次の行に更新しました。

コンテンツセキュリティポリシーに関するドキュメントによると、を使用するlocalhostかどうか127.0.0.1にかかわらず、まったく問題ありませんhttps。

ただし、次の場所から拡張機能を読み込もうとすると、次の（挑発的な）エラーメッセージが表示されますchrome://chrome/extensions/。

'/ Users / Tim / Desktop / temp/test'から拡張機能を読み込めませんでした。'content_security_policy'の値が無効です：'script-src'と'object-src'の両方のディレクティブを指定する必要があり（明示的に、または'default-src'を介して暗黙的に）、両方とも安全なリソースのみをホワイトリストに登録する必要があります。次のソースのいずれかを含めることができます： "'self'"、 "'unsafe-eval'"、 "http://127.0.0.1"、 "http：// localhost"、または任意の "https：//"または「chrome-extension：//」オリジン。詳細については、http：//developer.chrome.com/extensions/contentSecurityPolicy.htmlを参照してください。

manifest.json問題を確認するために、次のファイルを使用して空のディレクトリを作成できます。

解凍した拡張機能としてディレクトリをロードします。エラーが発生するはずです。削除するhttp://localhostか、に変更するとhttps://localhost、正常に読み込まれます。

私は何かが足りないのですか？

（注：Chrome 22.0.1229.79を使用しています）

ありがとう！

Chrome拡張機能に、クリックするとアイコンボタンの色が変わる機能を追加しました。コードは単純です：

ただし、content_security_policyがmanifest.jsonに設定されていると機能しないことが判明したため、これを理解するのに少し時間がかかりました。私はもともと持っていた

問題は、これを削除することで、もしあれば、何を失うのかということです。それとも、アイコンの変更を処理するために何か他のものにする必要がありますか？正直なところ、サンプルのマニフェストファイルから元のポリシーをコピーしただけで、それ以降は考えていません。

サイトのコンテンツ セキュリティ ポリシーを作成しましたが、最初に試して問題が発生するかどうかを確認したいので、report only ヘッダーを使用し、report-uri ディレクティブを追加しました。

ヘッダー名 X-WebKit-CSP-Report-Only は Webkit ベースのブラウザーで正しく機能しますが、X-Content-Security-Policy-Report-Only またはContent-Security-Policy-Report-Onlyは Firefox (バージョン 15) では機能しません。X-Content-Security-Policy は機能し、私の report-uri ディレクティブで指定された URL に違反レポートを送信します。ただし、これはまだやりたくないポリシーも実装しています。他の誰かがこれに出くわしましたか?

マニフェスト バージョン 2 と彼の新しい content_security_policy が chrome 拡張に必要になりました。インライン JavaScript の回避策と思われる「サンドボックス モード」に関するドキュメントをいくつか読みましたが、まだ大きな問題があります。

いくつかのリファクタリングの後、次のエラーが発生しました。プロトコルとポートが一致する必要があります。」

同じ拡張子の 2 つのファイルに同じ「ドメイン、プロトコル、およびポート」がない理由がわかりません!

注: 以下は私のマニフェストの一部です。