問題タブ [content-security-policy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
whitelist - CSP - ホワイトリスト コンテンツの場所: トラッキングとアフィリエイト マーケティングを行うサイトで機能しますか?
CSP は、コンテンツをホストできるドメインのホワイトリストを使用します。
これは、アフィリエイト マーケティングを使用するサイトで機能しますか? 通常、「注文完了」ページには、アフィリエイト パートナーが制御するスクリプトをホストする iframe があります。
アフィリエイト スクリプトのドメインをホワイトリストに登録することは問題ありませんが、私はスクリプトが何を行うかを制御できません。ホワイトリストに登録されていない他のコンテンツをロードすると確信しています。
アフィリエイト スクリプトと CSP について、良い経験と悪い経験を持っている人はいますか?
javascript - Chrome 拡張機能のコンテンツ セキュリティ ポリシー
コードを動的にロードする拡張機能が必要です。私はそれをロードするためにこれを書きました -
そして、これはmanifest.jsの私のセキュリティポリシーです -
これにより、JavaScriptエラーがスローされます-
私の質問は - なぜリラックスしていないのですか?unsafe evals を許可するために、具体的にマニフェストに行を追加しました。
google-chrome - unsafe-eval とリモート スクリプトを許可する方法 - CSP コンテンツ セキュリティ ポリシー
「GOOGLE拡張ウェブアプリ」
私を不安定な状態にする。
unsafe-eval とリモート スクリプトの両方を機能させることができません。
安全でない eval を使用できますが、remove スクリプトが機能しません。そしてその逆。
何が失敗したか:
評価とリモート
"content_security_policy": "script-src https://connect.facebook.net 'unsafe-eval'; object-src 'self' "
機能するもの:
リモートのみ
"content_security_policy": "script-src 'self' https://connect.facebook.net; object-src 'self' "
評価のみ
"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self' "
両方を持つ方法は?
javascript - Chrome拡張機能スクリプトを動的に追加
Chrome拡張機能では、次のコード
このエラーをスローします
これは、manifest.jsにこの行があるにもかかわらずです
このエラーがスローされる理由について何か考えはありますか?
ajax - Chrome 拡張機能を使用したコンテンツ セキュリティ ポリシー - リモート URL 経由でデータを取得する
manifest.json に次の行を追加して chrome 拡張機能を作成し、ajax リクエストを介してデータを取得できるようにしました。
"content_security_policy": "script-src 'self' http://localhost; object-src 'self'",
ライブ サイトで拡張機能をテストしたいので、次のように変更しました。
"content_security_policy": "script-src 'self' http://www.example.com; object-src 'self'",
しかし、Chrome を起動しても拡張機能が初期化されません。
javascript - ソーシャル プラグインと API 呼び出しを含む HTML5 ページのコンテンツ セキュリティ ポリシー
以下を含む HTML5 ページに使用することが推奨されるコンテンツ セキュリティ ポリシーは次のとおりです。
1) Facebook プラグイン
2) Twitter プラグイン
3) グーグルプラスワン
4) Google 翻訳
6) cdn.mywebsite.com から
7) ユーチューブ
次のような多くのエラーが発生します。
YouTube 動画の iframe と、Pinterest API などを含む多くのソーシャル ウィジェットを使用しています。君の力が必要。
google-chrome - Content-Security-Policy-Report-Only を使用すると、Chrome で Eval() が実行されない
Content-Security-Policyのレポート専用モードを使用すると、Chrome が実行されeval()なくなります。
eval次の例では、2 つのレポート (1 つはインライン スクリプト用、もう 1 つは 用) を取得し、ポップアップを表示することも期待しています。ただし、コンソールには 2 つのレポートしか表示されません。
CSP の使い方が間違っているのでしょうか、それとも Chrome の CSP レポートのみのモードにバグがありますか?
javascript - インライン スクリプトが禁止されているのはなぜですか (コンテンツ セキュリティ ポリシー)?
仕様からの引用について疑問に思っています: ( https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html )
ユーザー エージェントはインライン スクリプトが攻撃者によって挿入されたかどうかを判断できないため、最大の利益を得るには、作成者はすべてのインライン スクリプトとスタイルを、たとえば外部スクリプトに移動する必要があります。
すべてのインライン スクリプトを調達するのは、時間のかかる作業です。
私の質問は、セキュリティの観点からです。すべてのインライン スクリプト (JavaScript など) を外部ソースに抽出することで、本当にセキュリティ上の利点が得られるのでしょうか?
ありがとうございました
apache - Content-Security-Policy 無効なコマンド
.htacces ファイルに次の行を追加しました。
しかし、私は常に次のエラーを受け取りました:
理解できません。どの Apache モジュールを有効にする必要がありますか? これらの行の何が問題になっていますか?
Thx、デビッド