問題タブ [content-security-policy]

複数のドメインから外部スクリプトが読み込まれるChromeプラグインを開発しています。これらのドメインを許可する方法についてのドキュメントといくつかのチュートリアルを確認しました。

私がチェックしたドキュメント：

• http://developer.chrome.com/extensions/contentSecurityPolicy.html
• http://www.html5rocks.com/en/tutorials/security/content-security-policy/
• http://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html#syntax

それはすべて同じことを言っています、それから私はmanifest.jsonでこのルールを作成しました：

このChromeは、次のように応答します。

もちろん、私はいくつかの組み合わせを試しましたが、すべて失敗しました。1つのドメインのみを使用する場合にのみ機能します。どうすればさらに追加できますか？

コンテンツ セキュリティ ポリシーでディレクティブを指定するconnect-srcと、ブラウザの同一オリジン ポリシーが緩和され、クロスオリジン XHR リクエストを作成できるようになりますか? それとも、このディレクティブは、すでに合法的な XHR (つまり、同じオリジンの呼び出しまたは CORS によって有効化された呼び出し) を制限するためにのみ使用されますか?

コンテンツ セキュリティ ポリシーを使用して、安全でないインライン コードを使用せずに Django Web アプリケーションを安全にしたいと考えています。しかし、ほとんどの JavaScript コードを外部ファイルに移動するのは簡単ですが、修正できないインライン コードのセグメントもあります。私は Django を使用しており、JavaScript に pqww したい Django テンプレートコンテキストにいくつかの変数があります。そのため、現在は単純にインライン JavaScript として出力しています。しかし、これは CSP のために機能しません。

私はChromeWebAppsの初心者で、Bump'n'JumpのJavaScript/HTML5クローンをパッケージ化されたアプリとしてパッケージ化しようとしています。Chromeのセキュリティポリシーの壁にぶつかっています。

走ることを拒否しsetTimeout("pump()", time_diff);、

エラーはコードにありません。ブラウザのChromeの外部で機能するため、Chromeのセキュリティはそれを好まないようです。なぜ実行したくないのか誰か教えてもらえますpump()か？

グーグルマップを使いたいグーグルクローム拡張機能を作っています。問題は、スクリプトを実行すると、このエラーが発生することです。

これが私のマニフェストファイルです

}

そして、私はこのようなスクリプトを追加しています

なぜ何度もそのエラーが発生するのですか？助けてください...

1つ更新する

マニフェストファイルにこれらの2つの権限を追加しましたが、まだ機能していません

2つ更新

私もこの種のcontent_security_policyを使用しました

しかし、上記は私にとってもうまくいきません

データを取得するために StackOverflow API に接続しようとすると、次のエラーが発生します: スクリプトの読み込みを拒否しました

http://api.stackoverflow.com/1.1/questions/unanswered?pagesize=24&tagged=java%20sql&jsonp=jQuery1506144814109429717_1352283176238&_=1352283176259

次のコンテンツ セキュリティ ポリシー ディレクティブに違反しているためです: "script-src 'self' 'unsafe-eval'"。

これは私のマニフェストファイルです:

インライン スクリプトはありません。

ここで何が欠けているのか分かりますか?

コンテンツ セキュリティ ポリシーを使用するように Web ソフトウェアを変更しようとしています。それなしでコンパイルすると、すべて正常に動作します。CSP ヘッダーを含めると、Chrome は (Chrome 開発者ツールを使用して) 2 つの場所でエラーを報告します。

• インライン JavaScript がないにもかかわらず、すべての ASPX または HTML ファイルの最初の行に「コンテンツ セキュリティ ポリシーに違反しているため、インライン スクリプトの実行を拒否しました...」というエラーが表示されます。
• 「このコンテキストでは許可されていない文字列からのコード生成」エラー - これは jquery-1.8.3.min.js ファイルに記載されていますが、私が書いたいくつかの JQuery から発生しているように見えます。ページ上にアイテムを生成する Web サービス。

では、2 つの質問があります。純粋な静的 HTML ファイルであるにもかかわらず、すべてのファイルが違反していると常に言われるのはなぜですか?

第二に、コンテンツのセキュリティは、JQuery を使用して html を生成するときに文字列を使用できないことを本当に意味していますか?それが専用の .js ファイルにある場合でも? 私はウェブ全体の情報を見てきましたが、この特定の問題は実際には解決されていません。では...ここでのルールは何ですか？

私が本当に望んでいるのは、A) インライン JavaScript と B) 外部 JS ファイルのロードを防ぐことだけです。

どんな助けでも大歓迎です！

更新: JQuery/JQueryUI を 1.8.2 / 1.9.1 にアップグレードすると、文字列エラーはなくなりました。以前使用していたバージョンはわずか 1 か月前のものだったので、これは JQuery の最近の改良のようです。他の変更も行っているため、これが JQuery であったかどうかはわかりませんが、可能であれば、より最近の JQuery を使用することは理にかなっています。

マニフェスト2のガイドラインに従ったChrome拡張機能を作成しています。私はこれに何時間も取り組んできましたが、jqueryをWebページ内で実行して、ページ上の要素をアニメーション化する方法を理解できません。（具体的にはslideUp（）関数を使用）

これがmanifest.jsonです

これがmain.jsです

これがoptions.htmlです

これがoptions.jsです。

そして、これが私が得るエラーです：

お手数をおかけしますが、よろしくお願いいたします。

レイナルド

Chrome拡張機能で複数のポートをリッスンする必要があります。

私のmanifest.jsoncontent_security_policy行は次のとおりです。

tnx！

私は自分のセキュリティポリシーを次のように定義しました：

（私はまだいくつかのページの先頭にCSSを持っています）。

FirefoxまたはChromeで問題はありません（IEはまだCSPをサポートしていません）が、Safariでテストしようとすると、次のような一連のエラーが発生します。

画像はdefault-srcでカバーされている必要があり、他の2つは「自己」としてリストされているため、Safariが画像とスクリプトを受け入れない理由がわかりません。私はMacを持っていないので、Windows（5.1.7）でSafariを使用しています。

何か案は？ありがとうございました！