«content-security-policy» etiketlenmiş sorular

Geliştirici konsolunda bir sürü hata alıyorum: Bir dizeyi değerlendirmeyi reddetti Aşağıdaki İçerik Güvenliği İlkesi yönergesini ihlal ettiği için satır içi komut dosyasını yürütmeyi reddetti Komut dosyasını yüklemeyi reddetti Stil sayfasını yüklemeyi reddetti Bütün bunlar ne hakkında? İçerik Güvenliği Politikası nasıl çalışır? Content-Security-PolicyHTTP üstbilgisini nasıl kullanırım ? Özellikle, nasıl ... ... …

248 javascript  html  security  http-headers  content-security-policy 

Bu basit örnekte, meta http-equiv üstbilgisiyle bir CSP başlığı ayarlamaya çalışıyorum. Bir base64 resmi ekledim ve Chrome'un resmi yüklemesini sağlamaya çalışıyorum. dataAnahtar kelimenin bunu yapması gerektiğini düşündüm , ancak bir şekilde çalışmıyor. Geliştirici Araçları'nda şu hatayı alıyorum: Görüntünün verilerini yüklemeyi reddetti: image / png; base64, R0lGODlhDwAPAOZEAMkJCfAwMMYGBtZMTP75 + euIiPFBP + hVVf3v7… …

247 content-security-policy 

W3C orada denilen HTML5.1 yeni özellik olduğunu söylüyor nonceiçin styleve scriptbir web sitesinin içeriği Güvenlik Politikası tarafından kullanılabilir. Google'da araştırdım ama sonunda bu özelliğin gerçekte ne yaptığını ve onu kullanırken ne değiştiğini anlamadım?

142 html  attributes  content-security-policy  nonce 

Uygulamamı 5.0.0 ( Lollipop ) üzeri Android sistemine sahip cihazlara dağıtmaya çalıştığımda , şu tür hata mesajlarını almaya devam ettim: 07-03 18: 39: 21.621: D / SystemWebChromeClient (9132): file: ///android_asset/www/index.html: Satır 0: Aşağıdaki İçeriği ihlal ettiği için 'http: // xxxxx' komut dosyasını yüklemeyi reddetti Güvenlik Politikası direktifi: "script-src 'self' 'unsafe-eval' …

108 javascript  android  cordova  content-security-policy 

Sayfa yüklemede CAPTCHA kullanıyorum , ancak bazı güvenlik nedenlerinden dolayı engelliyor. Bu problemle karşı karşıyayım: İçerik Güvenliği Politikası: Sayfanın ayarları yüklemeyi engelledi bir kaynağın http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'"). Aşağıdaki JavaScript ve meta etiketi kullandım: <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'"> <script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>

101 javascript  jquery  content-security-policy 

Biz kullanabilirsiniz window.location.replaceiçin , önlemek tarih ve hedefe Sayfada çapa , sayfayı yeniden olmadan ama değil iframe'lerinde? Sorun, durumların etkinleştirilmesi gereken bir CSP (içerik güvenliği politikası) ihlalidirscript-src 'unsafe-inline' . Dışında bir CSP tanımlamam dışında bir tanesini tanımlayıp izin versem script-src 'unsafe-inline'de yine de aynı ihlal hatası veriyor. İe11 / chrome …

15 javascript  html  iframe  browser-history  content-security-policy