Tag: content security policy

在Chrome扩展中获取JSON

我的Chrome扩展的小问题。 我只是想从另一台服务器获取JSON数组。 但是舱单2不允许我这样做。 我试过指定content_security_policy ,但是JSON数组存储在没有SSL证书的服务器上。 那么,我应该怎么做,而不使用清单1?

使用限制性内容安全策略将iframe注入页面

我想创build一个浏览器扩展,它创build一个侧边栏.Chrome没有一stream的侧边栏,所以我们必须在页面中放置一个iframe。 但是,由于内容安全策略,这在许多页面上都会中断。 例如,GitHub使用CSP,它不允许来自其他站点的iframe被embedded其中。 例如,如果您尝试将capitalone.com网站放在GitHub上的iframe中,您将得到以下结果: 拒绝框架“ https://www.capitalone.com/ ”,因为它违反了以下内容安全政策指令:“frame-src”self“render.githubusercontent.com www.youtube.com assets.braintreegateway.com”。 这是一个简单的浏览器扩展来重现: chrome.tabs.onUpdated.addListener(function(tabId, changeInfo, tab) { if (changeInfo.status === 'complete') { chrome.tabs.executeScript(tabId, { code: 'document.body.innerHTML=\'<iframe style=\"width:600px; height:600px\" src=\"https://www.capitalone.com/\"></iframe>\' + document.body.innerHTML;' }, function() { console.log('Iframe injection complete'); }) } }.bind(this)); 然而,根据维基百科,浏览器扩展应该能够注入一个iframe,尽pipe有任何内容安全策略: 根据CSP处理模型,[20] CSP不应该干扰用户安装的浏览器插件或扩展的操作。 CSP的这一特性有效地允许任何插件或扩展插入脚本到网站,不pipe脚本的来源如何,从而免除CSP策略。 除了我在做什么之外,还有其他一些方法可以注入iframe吗?

控制台显示有关内容安全策略和许多失败的GET请求的错误

我实际上正在研究我的第一个Chrome扩展, 即使它运行平稳,我从我用来检索一些数据和关于代码的安全性恼人的错误get()函数有很多错误。 以下是控制台日志的屏幕截图 : 以下是涉及的代码: popup.html <!doctype html> <html> <head> <title>NGI Little Helper – Subscribes</title> <link rel="stylesheet" href="popup.css"> <!– JavaScript and HTML must be in separate files for security. –> <script type="text/javascript" src="common/jquery.js"></script> <script type="text/javascript" src="popup.js"></script> </head> <body> <h1>Topics</h1> <div id="content">..:: Loading ::..</div> </body> </html> popup.js 这个脚本开始制作一个$.get()到一个远程网页。 variablesdata的内容可以在这里find $.get("http://gaming.ngi.it/subscription.php?do=viewsubscription", function(data) { var TDs = $('td[id*="td_threadtitle_"]', […]

内容安全政策如何运作?

我在开发者控制台中遇到了一堆错误: 拒绝评估一个string 拒绝执行内联脚本,因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是关于什么的? 内容安全政策如何运作? 如何使用Content-Security-Policy HTTP标头? 具体来说,如何… …允许多个来源? …使用不同的指令? …使用多个指令? 处理端口? …处理不同的协议? …允许file://协议? …使用内联样式,脚本和标签<style>和<script> ? …允许eval() ? 最后: 'self'究竟是什么意思?

Chrome扩展程序popup式窗口不起作用,点击事件无法处理

我已经创build了一个JavaScriptvariables,当我点击button应该增加1,但没有发生。 这里是manifest.json 。 { "name":"Facebook", "version":"1.0", "description":"My Facebook Profile", "manifest_version":2, "browser_action":{ "default_icon":"google-plus-red-128.png", "default_popup":"hello.html" } } 这是html页面的代码 <!DOCTYPE html> <html> <head> <script> var a=0; function count() { a++; document.getElementById("demo").innerHTML=a; return a; } </script> </head> <body> <p id="demo">=a</p> <button type="button" onclick="count()">Count</button> </body> </html> 我希望扩展名显示a的值,并在每次单击扩展名或button时将其加1