問題タブ [content-security-policy]

各サイトからタイトルと説明を取得し、jQuery AJAX を使用してサーバーに送信する Google Chrome 拡張機能を開発しています。私はマニフェスト バージョン 2 を使用しており、すべての http および https サイトのアクセス許可を追加しています。Ajax 呼び出しは、すべてのサイトで正常に機能していました。

先日、コードが ajax をサーバーに送信できないエラーが見つかりました。正確に言うと、facebook.com は、HTTP ヘッダー Content-Security-Policy(CSP) を使用しているため、クロス ドメイン リクエストの送信を許可していませんでした。これは拡張の CSP とは関係ないと思います。Google Chrome バージョン 25.0.1364.160 を使用しています。

この CSP ヘッダーは、Chrome 拡張機能のクロスドメイン リクエスト機能を壊していますか? 回避策はありますか?

前もって感謝します！

私はsecure_headers gem https://github.com/twitter/secureheadersを使用し、cspを次のように構成しました

それでもレポートを表示できずhttp://localhost:3000/report、ページがリダイレクトされません

• http://a.example.comに移動します
• ページには、http://a.example.comの別のページへの iframe が含まれています
• iframe はhttps://b.example.com/に ajax リクエストを行います
• iframe は window.location.href をhttps://b.example.com/に設定します
• iframe (現在はhttps://b.example.com/ ) は、ネストされた iframe をhttps://b.example.com/の別のページに読み込みます
• ネストされた iframe は、http://c.example.com/<a href="">に直接提供しています

最後のリンクは、ブラウザーの混合コンテンツ セキュリティ ポリシーによってブロックされています。

クロム 30:[blocked] The page at https://b.example.com ran insecure content from http://c.example.com.

Firefox 23:Blocked loading mixed active content "http://c.example.com/"

<a href="">この直接リンクが混合コンテンツ セキュリティ ポリシーをバイパスすることを承認するにはどうすればよいですか?

Chrome アプリケーションを作成しようとしていますが、変更を加えたときに自動的に更新されるように livereload を使用したいと考えています。しかし、次のメッセージが表示されます—</p>

エラーメッセージ：

manifest.json ファイルに次のセクションを追加しましたが、クロムは警告を発し始めました。

警告 -

この拡張機能をインストールしようとすると、次のような警告が表示されました。「content_security_policy」は、拡張機能と従来のパッケージ アプリに対してのみ許可されており、これはパッケージ アプリです。

アップデート：

バックグラウンド スクリプトを使用してウィンドウを作成すると、この問題が発生します。つまり、マニフェスト ファイルにこれがある場合

バックグラウンドスクリプトを使用しない場合は、代わりにこれを使用してください-

その後、すべてがうまく機能します。誰かがなぜこれが起こっているのか説明できますか?

GitHub と Facebook の両方が現在このポリシーを実装していることに気付きました。これにより、サードパーティのスクリプトがエクスペリエンス/サイト内で実行されるのを制限しています。

JavaScriptを使用してドキュメントが CSP に対して実行されているかどうかを検出する方法はありますか? ブックマークレットを作成していて、ユーザーがスクリプト タグの埋め込みをサポートしていないサイトにいる場合にメッセージを表示したいと考えています。

CSPによると、eval（）メソッドの使用が許可されていないChromeパッケージアプリを構築しています。JQuery (バージョン 1.10.2) と AngularJS (バージョン 1.0.6) を使用しているため、ライブラリ メソッドの 1 つが JQuery globalEval を内部的に呼び出します。(globalEval は内部で eval を呼び出しますが、このコンテキストでは使用できません)

誰かが同じ問題に遭遇しましたか? JQuery/AngularJS ライブラリ メソッドを再設計する以外の回避策はありますか?

CSP を使用する利点は理解していますが、HTML ファイル以外のヘッダーを送信するのはもったいないですか? たとえば、イメージで CSP ヘッダーを送信する必要がありますか? .jsファイルの場合は？

次のヘッダーを設定したにもかかわらず：

JavaScript がまだ iframe.contentWindow.document へのアクセスをブロックしています:

speech.contentWindow.documentat の後の Firefox コンソールからhttp://bits.speech.is。Chrome では、より冗長でありながら不可解な結果が得られます。

このセキュリティ ポリシーが設定されている場所を追跡する方法はありますか? 他に何が欠けているかをどのように把握しますか?

このジンジャー拡張機能をChromeにインストールすると: https://chrome.google.com/webstore/detail/spell-and-grammar-checker/kdfieneakcjfaiglcfcgkidlkmlijjnh?utm_source=chrome-ntp-icon

自分のページを表示します: http://start.funmoods.com/results.php?q=hotel.com&a=undefined&category=web&start=1&fc=br

「ginger」拡張機能をオンにすると上部に表示されるように、ページが低くなります。

なぜ私の csp は、ジンジャーがその html をロードすることを許可したのか知っていますか?

ここに私のcspヘッダーがあります:

Chrome 開発者ボックスで自分で表示できます

Cache-Control:no-cache, must-revalidate Connection:keep-alive Content-Encoding:gzip Content-Security-Policy:default-src ; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com ; frame-src 'self' http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net; font-src 'なし'; connect-src 'self'; media-src '自己'; object-src 'なし'; スタイル-src「自己」; Content-Type:text/html Date:Wed, 06 Nov 2013 09:22:47 GMT Expires:Sat, 26 Jul 1997 05:00:00 GMT Server:nginx Set-Cookie:fm=YT11bmRlZmluZWQmdXJlZj0mY2Q9JmNyPSY%3D; expires=Fri, 06-Dec-2013 09:22:47 GMT Set-Cookie: rs=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%3D%3D; expires=Tue, 27-Oct-2015 09:22:47 GMT Transfer-Encoding:chunked X-Content-Security-Policy:default-src; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com ; フレーム-src '自己' http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net ; font-src 'なし'; connect-src 'self'; media-src '自己'; object-src 'なし'; スタイル-src「自己」; X-WebKit-CSP:default-src ; script-src 'self' http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d. yimg.com https://completr.appspot.com ;.yhs4.search.yahoo.com http://ad.adserver-pro.net ; font-src 'なし'; connect-src 'self'; media-src '自己'; object-src 'なし'; スタイル-src「自己」;