扩展和书签的内容安全策略

 瀑布下的鱼 发布于 2022-12-25 14:41
  • git
  • 安全
  • uri
  • default
  • ip
  • cdn

    • Github具有以下内容安全策略:

    Content-Security-Policy:default-src*; script-src assets-cdn.github.com www.google-analytics.com collector-cdn.github.com; object-src assets-cdn.github.com; style-src'self''unsafe-inline''unsafe-eval'res assets-cdn.github.com; img-src'self'数据:assets-cdn.github.com identicons.github.com www.google-analytics.com collector.githubapp.com*.githubusercontent.com*.gravatar.com*.wp.com; media-src'un'; frame-src'self'render.githubusercontent.com www.youtube.com player.vimeo.com checkout.paypal.com; font-src assets-cdn.github.com; connect-src'self'ghconduit.com:25035 live.github.com uploads.github.com s3.amazonaws.com

    我们可以使用Evernote或Pocket等服务的浏览器扩展来剪辑/检索网页内容.

    在这个Github政策中,我没有看到Pocket或Evernote的任何引用.有人可以解释为什么Pocket扩展能够从Github检索内容,而Evernote扩展不是,有CSP错误)

    CSP策略是否可以阻止加载bookmarklet应用程序或浏览器扩展应用程序(如剪辑器)?如果是这样,Pocket如何能够在任何内容上进行扩展工作?

    我们的bookmarklets /扩展中有这个问题,我希望它们像Pocket扩展一样顺畅,但我真的不知道从哪里开始...谢谢

    编辑:由于人们在评论中要求代码,我们的书签加载了这个javascript:

    javascript: (function() {
    function loadScript(a, b) {
        var c = document.createElement('script');
        c.type = 'text/javascript';
        c.src = a;
        var d = document.getElementsByTagName('head')[0],
            done = false;
        c.onload = c.onreadystatechange = function() {
            if (!done && (!this.readyState || this.readyState == 'loaded' || this.readyState == 'complete')) {
                done = true;
                b()
            }
        };
        d.appendChild(c)
    }
    loadScript('http://localhostsss.com:9000/assets/js/backbone/views/clipping/clippinglocal.js', function() {
        s.clipping.initClipping()
    })
})()

    如果我尝试在具有CSP的Medium页面中启动此bookmarklet,则会出现以下错误.

    拒绝加载脚本' http://localhostssss.com:9000/assets/js/backbone/views/clipping/clippinglocal.js ',因为它违反了以下内容安全策略指令:"script-src'unsafe-eval'' unsafe- inline'all:https:// .akamaihd.net http:// .baidu.com https://bitly.com https:// .cloudfront.net https:// .facebook.com https:// . facebook.net https://getpocket.com https:// .github.com https:// .googleapis.com https://ssl.google-analytics.com https://app.greenhouse.io https:// .medium.com https://myspace.com https:// .pinterest.com https://www.readability.com https://thinkery.me https://this.cm https:// .twitter.com https://use.typekit.net https://*.instapaper.com'self'".

    有人可以告诉我如何在像Medium或Github这样有CSP策略的网站上加载我们的书签.

    我还不能谈论浏览器扩展,因为我还没有开始工作,而且这个人不在这里.我只知道我们有同样的问题,我们的浏览器扩展基本上与我们的bookmarklet相同的代码,除了它有点适合浏览器扩展shell.如果您只能回答书签案例我会好的并接受答案,但任何浏览器扩展的提示都会很好:)

    撰写答案
    今天,你开发时遇到什么问题呢?
    立即提问
    热门标签
    PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有