Son zamanlarda, Facebook gibi bazı web siteleri , komut dosyalarının "güvenilmeyen kaynaklardan" yüklenmesini kısıtlamak için İçerik Güvenliği Politikası'nı (CSP) kullanır. Örneğin, Facebook HTML içeriği isterken (örn. Https://www.facebook.com ), Facebook'un HTTP yanıtı aşağıdaki yanıt başlığını içerir:
x-webkit-csp:default-src *;script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net;style-src * 'unsafe-inline';connect-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.spotilocal.com:* https://*.akamaihd.net ws://*.facebook.com:* http://*.akamaihd.net;
Bunun, güvenilmeyen kaynaklardan Javascript kitaplıkları yüklemesi ve yürütmesi gereken bazı yer işaretleri üzerinde etkisi vardır.
Örneğin, bir Facebook sayfasında Bağlantıları Göster yer işaretini çalıştırmaya çalıştığımda, güvenilmeyen bir kaynaktan jQuery yüklemeye çalışırken bu yer işaretinin yürütülmesi başarısız olur. Chrome'un Geliştirici konsolunda şunu söyleyecektir:
Refused to load the script 'http://ajax.googleapis.com/ajax/libs/jquery/1.3/jquery.min.js' because it violates the following Content Security Policy directive: "script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net".
Bu konuyla ilgili bir Chrome dokümantasyon sayfası buldum, ancak yalnızca Chrome uzantıları için geçerlidir .
Bana izin veren çözümler arıyorum
- ya bir kez CSP'yi devre dışı bırakın
- veya güvenilir kaynaklarımı kalıcı olarak beyaz listeye ekleyin.