問題タブ [content-security-policy]

私は、Facebook でステータスの更新とコメントを直接翻訳できる Chrome 拡張機能の作成者です: https://chrome.google.com/webstore/detail/facebook-translate/plofenifjagmdikfcobngnfmmnfmphin

ここ数日、ユーザーと私は、エラー コンソールに次のようなエラーが表示されます。

' https://api.microsofttranslator.com/V2/Http.svc/Translate?appId=&text=Chrome-Integration%3A+Google+bringt+Google+Now+auf+Desktop-PCs&to=en&contentType=textへの接続を拒否しました%2Fhtml ' 次のコンテンツ セキュリティ ポリシー ディレクティブに違反しているため: "connect-src https:// .facebook.com http:// .facebook.com https:// .fbcdn.net http:// .fbcdn.net * .facebook.net .spotilocal.com: https:// .akamaihd.net ws:// .facebook.com:* http://*.akamaihd.net".

私の Chrome 拡張機能では、コンテンツ セキュリティ ポリシーを次のように設定しました。

"content_security_policy": "script-src 'self' https://ssl.google-analytics.com ; object-src 'self'"

ただし、エラー コンソールの URI は FB URI のみであるため、Facebook がリモート URI へのアクセスを制限するためにサイトを更新したと私は考えています。Chrome の問題であるかどうかはわかりません。間違ったスタックオーバーフロー ネットワークでトピックを開始した場合は申し訳ありません。:)

誰かがこの問題を確認できますか (そして、おそらく解決策を教えてくれますか)? みんな、ありがとう！

Content Security Policy が IE10 に組み込まれた新機能であることは認識しています。

IE9 以前のバージョンのアドオン (BHO) を介して実装を提供しているサードパーティ ベンダーがあるかどうか疑問に思っていますか?

ありがとう、

これに対する簡単な答えがあることを願っています。

「fancybox」ツールを使用して、Vimeo のビデオをページに埋め込んでいます。Fancybox は基本的に iFrame を作成し、Vimeo プレーヤーを埋め込みます。Content Security Policy をオンにするまでは、すべてのブラウザーで問題なく動作します。その後、ID は機能しますが (CSP を実装していないため)、Chrome と Firefox は「読み込み中」の画像が表示されたままハングします。

私はこのCSPを試しました:

もちろん、メディアと iframe の両方が vimeo から来ることを許可していると考えています。しかし、うまくいきません。誰かが理由を知っていますか？

更新: ビデオを表示しているページだけの CSP を削除し、Google の開発者ツールでコンテンツを調べました。Vimeo は、他の Vimeo サブドメイン、vimeocdn.com、conviva.com、lphbs.com、さらには Amazon の aws からも大量のコンテンツを取り込みます。では、Vimeo (および YouTube ?) を使用している場合、非常に長い外部サイトのリストを持っているか、CSP を使用していないだけですか? どんな洞察もいただければ幸いです！

コンテンツセキュリティポリシーについては、http： //developer.chrome.com/extensions/contentSecurityPolicy.htmlから読みました。

そこでは、「外部のJavaScriptまたはオブジェクトリソースが必要な場合は、スクリプトを受け入れる必要のある安全なオリジンをホワイトリストに登録することで、ポリシーをある程度緩和することができます」と述べられています。

この例は、manifest.jsonに次の行を追加する必要があることを示しています。

しかし、 https：//example.comだけでなく、すべてのWebサイトをサポートしたい場合はどうでしょうか。ところで-「評価されたJavaScript」を含めることも可能ですか：それに'unsafe-eval'？代わりに何を書くべきですか？

Chrome 拡張機能のバックグラウンド ページで Firebase を使用しようとしていますが、インライン スクリプトを実行しているように見えますが、これはセキュリティ上の理由から許可されていません。

現在、CSP を次のように設定しています。

最初の Firebase スクリプトを読み込むことはできますが、新しい Firebase('my-firebase-url') を呼び出すと、次のエラーが発生します。

次のコンテンツ セキュリティ ポリシー ディレクティブに違反しているため、インライン スクリプトの実行を拒否しました: "。Uncaught ReferenceError: pRTLPCB が定義されていません

Firebase チーム (または誰か) が提供できる回避策やアドバイスはありますか?また、スクリプトがインラインで実行される理由についての説明はありますか?

Chrome 拡張機能で複数のファイルをダウンロードしようとしています。次のコードは、ファイルへのダミー リンクを作成し、ファイルをダウンロードする .click() イベントをトリガーします。問題は、最初の .click() イベントだけがダウンロードをトリガーすることです。後続の .click() イベントは無視されます。

ここにmanifest.json :

ここでsample.js :

私はもう試した：

• FileSaver.js を使用してChrome 拡張機能のファイル システムへの書き込みで説明されているように、ファイルをダウンロードするためのさまざまな方法があります。まったく同じ結果が得られます。最初のファイルがダウンロードされ、2 番目のファイルはダウンロードされません。

• Is it possible to make two .click method calls in javascriptで説明されているようにタイムアウトを追加すると、content-security-policy 違反が発生します。Google Chrome拡張機能の Content-Security-Policy エラーで説明されているアプローチを使用して回避しようとしました。しかし、成功せずに

• jQuery click event works only onceで説明されているように jQuery .live メソッドを使用すると、これも成功しませんが、これを正しく実装したかどうかは 100% 確信が持てません (人々がこのアプローチで解決すると思われる場合は、後でコードを投稿できます)。

複数のファイルを単純に保存するのがなぜそんなに難しいのか、驚きました。どんな助けにも感謝します。

new FunctionWebワーカーで作業するのに問題があります。Webワーカーを生成するHTMLページがあります。このWebワーカーは、を介してコードを実行しますnew Function(str)。これをパッケージ化されたChromeアプリで使用しようとしています。このアプリでevalは、マニフェストにサンドボックス化されたページとして明示的にリストされるようなコードを使用するページが必要です。

現在、2つのオプションがあります。

• サンドボックス化するページをリストしてください。そうすれば、を使用できますnew Functionが、要求を行うことができないため、Webワーカーを生成できません（サンドボックス化されたページには固有のオリジンがあります）。new Worker(...)をスローしSECURITY_ERRます。
  • new Functionサンドボックスで動作します
  • new Worker固有の起源のためにサンドボックスで失敗する
• サンドボックス化するページをリストしないでください。そうすれば、Webワーカーを生成できますが、new Functionサンドボックス化されていないため、ワーカーは使用できません。それの使用について不平を new Function(...)投げます。EvalError
  • new Functionevalのようなものであるために非サンドボックスで失敗する
  • new Workerサンドボックス以外で動作します

私のCSPは次のとおりです。

new FunctionWebワーカーで作業するにはどうすればよいですか？

Content-Security-Policy HTTP ヘッダーは、信頼されていないサーバーからのインライン スクリプトとリソースをブロックするためのものです。ただし、サンプルの Google Analytics コード スニペットは両方に依存しています。この分野でのベストプラクティスは何ですか?

これは、私が現在使用している Content-Security-Policy ヘッダーです。

これまでのところ、次のことを行いました。

HTML に 2 つのスクリプト タグを追加しました。

google-analytics.js は、_setAccount と _trackPageview を使用して _gaq 配列を設定します。

script-src に ga.js のドメインを追加しました。

ga.js が 2 つの画像をロードしていることに気付いたので、それらを img-src に追加しました。

足りないものはありますか？Google は私の状況を変えて、このすべてを壊してくれるでしょうか? 公式の推奨事項はありますか？

csp ヘッダーを使用してページを保護しています。と の両方を設定X-Content-Security-PolicyしX-Webkit-CSPました。次の値に:

すべて正常にロードされますが、クロムで次のエラーが発生します。他のブラウザではまだテストしていません。

現在のドメインのスクリプトの行を参照して、インライン スタイルを含む HTML を挿入しようとしています。script-src を使用してホワイトリストに登録したスクリプトを許可する方法はありますか? ajax.googleapis.com でホストされている jquery でも同じエラーが発生します。

現在、Firefox OS でArea Tweet チュートリアル アプリケーションをテストしています(完全なソース コードは、Creating the Area Tweet アプリのリンクを参照してください)。次の問題が発生しています: アプリケーションは Twitter API を呼び出しますが、応答を受信しませんが、次のWARN/ ERROR :

ここでの問題は何ですか？これは API リクエストに対する応答を受信しないためのヒントですか、それとも何か別のことがありますか? Firefox と Chrome ブラウザー (Windows) の両方でアプリケーションをテストしましたが、正常に動作します。

また、 Firefox OS Boilerplate Appをテストしたところ、これは問題なく動作するようです。これら 2 つの Web アプリケーションの唯一の違いは、Area Tweet がjQueryを使用しているのに対し、ボイラープレートのものは使用していないことです。Area Tweet の元のソース コードに対して行った変更の 1 つは、jQuery ライブラリをlocalhostからロードすることです(Mozilla パッケージング ポリシーに準拠するため) が、それは問題ではないようです。