問題タブ [content-security-policy]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

2191 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
916 参照

firefox - X-Content-Security-Policy-Report-Only が Firefox 20 で機能しない

次のコンテンツ セキュリティ ポリシーを定義しています。

これを に変更するとX-Content-Security-Policy、ポリシーが適用され、レポートが送信されます。しかし、これを に設定するReport-Onlyと、コンソールにポリシー警告が表示されず、レポートも送信されません。

unsafe-inlineとがサポートされておらず、unsafe-evalを使用する必要があるというバグを認識していますがoptions inline-script eval-script、このページではどちらも使用していません。

これと関係があるかどうかはわかりませんが、ヘッダーは として送信されていますX-Content-Security-Policy-Report-Onlyが、Firebug はそれを変換しますx-content-security-policy-report-only- 単に大文字と小文字を変更するだけです。

X-Content-Security-Policyまた、次のようにとの両方を指定する場合X-Content-Security-Policy-Report-Only:

コンソールには WARN レベルのメッセージがあります。

レポート専用以外の CSP ポリシーが適用されているため、レポート専用 CSP ポリシーは無視されます。

つまり、ヘッダーを見て、それを処理して報告する代わりに、もう一方を強制するのではなく、それを完全に削除していますか?

0 投票する
1 に答える
216 参照

css - コンテンツ セキュリティ ポリシーが有効な場合に JS を使用してスタイルを適用する

Javascript を使用して要素の背景色を設定しようとしていますが、style-src 'self'.

$(el).css("display", "none")Javascript からのようなことはでき$(el).css("background-color", "#FFF")ますが、CSP が原因で失敗します。やろうとすると同じことが起こりel.style.backgroundColor = "#FFF"ます。

#FFF実際にはデータベースから来ているので、それを静的 CSS ファイルに入れる方法がありません。すべてのインライン スタイルを許可せずに背景色を動的に設定する方法はありますか?

0 投票する
4 に答える
4625 参照

http - コンテンツ セキュリティ ポリシーが機能しない

応答ヘッダーにこのヘッダーを追加しています:

x-content-security-policy default-src 'none';

ページに css や画像が読み込まれないことを期待しますが、すべてが読み込まれます。私は何を間違っていますか?

0 投票する
3 に答える
9167 参照

jquery - Firefox os 特権アプリ エラー: jquery 1.9.1 で csp によってブロックされた eval() の呼び出し

jQueryでfirefox OSのwebAppを作っています。

アプリケーション タイプは、systemXHR を使用する権限を持っています。

したがって、マニフェスト ファイルでアクセス許可を定義します。アプリはシミュレーターでうまく機能しています。

しかし、アプリをデバイスにプッシュして任意のボタンをクリックすると、CSP エラーが検出されました。

エラー: エラー: CSP によってブロックされた eval() の呼び出し
ソース ファイル: app://0cd689b3-a514-4a1c-b1c4-efe372189761/js/jquery-1.9.1.js 行: 603

デバイス情報

  • OS バージョン : 1.1.0.0.-プレリリース
  • プラットフォームのバージョン: 18.0
  • Git コミット情報: 2013-05-01 19:48:40

サンプルコードは

その他のスクリプト コードは、signin_controller.js で説明されています。

だから私はマニフェストファイルでcspを定義します

この csp を回避するにはどうすればよいですか?

0 投票する
1 に答える
155 参照

javascript - Chrome 拡張機能の更新: マニフェスト 2 とセキュリティ ポリシー

バックグラウンド ページを使用する既存の chrome 拡張機能を更新しようとしています。ここで何かを見つけましエラーは発生しませんが、ポップアップは表示されません。マニフェスト1コードを試すことができるように、古いChromeバージョンに戻ろうとしましたが、時間が増えません。このすべてのコードについて申し訳ありませんが、問題の原因がわかりません。

マニフェスト.json

popup.html

popup.js

background.js

0 投票する
2 に答える
47157 参照

javascript - Chrome 拡張機能のポップアップが機能しない、クリック イベントが処理されない

JavaScript 変数を作成しました。ボタンをクリックすると、1 ずつ増加するはずですが、発生しません。

ここにありmanifest.jsonます。

これがhtmlページのコードです

拡張機能で a の値を表示し、拡張機能またはボタンをクリックするたびに値を 1 ずつ増やしたい

エクステンションの絵

0 投票する
2 に答える
30013 参照

google-chrome-extension - コンテンツ セキュリティ ポリシーで複数のドメインをホワイトリストに登録する

コンテンツ セキュリティ ポリシーのホワイトリストに 2 つのドメインを含める必要がある chrome 拡張機能を作成しています。公式ドキュメントを見ましたが、まだ適切な構文を理解できないようです。

以下は機能していないようです。

編集:

コンテンツ スクリプトとポップアップの両方が foo.com に到達できますが、どちらも example.com に到達できません。

Chrome 拡張機能は、CSP で複数のソースをホワイトリストに登録できますか?


12345678910