タグ付けされた質問 「content-security-policy」

開発者コンソールにたくさんのエラーが出ます： 文字列の評価を拒否 次のコンテンツセキュリティポリシーディレクティブに違反しているため、インラインスクリプトの実行を拒否されました スクリプトの読み込みを拒否 スタイルシートの読み込みを拒否しました これは一体何なのでしょう？コンテンツセキュリティポリシーはどのように機能しますか？Content-Security-PolicyHTTPヘッダーを使用するにはどうすればよいですか？ 具体的には... ...複数のソースを許可しますか？ ...別のディレクティブを使用しますか？ ...複数のディレクティブを使用しますか？ ...ポートを処理しますか？ ...異なるプロトコルを処理しますか？ ... file://プロトコルを許可しますか？ ...使用インラインスタイル、スクリプト、およびタグ<style>と<script>？ ...許可するeval()？ そして最後に： 正確には'self'どういう意味ですか？

248 javascript  html  security  http-headers  content-security-policy 

この単純な例では、メタhttp-equivヘッダーを使用してCSPヘッダーを設定しようとしています。base64イメージを含め、Chromeにそのイメージをロードさせようとしています。 dataキーワードはそれで十分だと思いましたが、どういうわけか機能していません。 開発者ツールで次のエラーが表示されるだけです。 画像の読み込みを拒否しました 'data：image / png; base64、R0lGODlhDwAPAOZEAMkJCfAwMMYGBtZMTP75 + euIiPFBP + hVVf3v7…nw7yk4Mjr6GLUY + joiBI2QAACAB.It Security'ポリシー 'セキュリティ'ポリシー 'ポリシー'の次のとおりです。 サンプルコード（この例では、そこにメタヘッダーを設定できないため、JSFiddleは機能していません）： <html> <head> <meta http-equiv="Content-Security-Policy" content=" default-src 'none'; style-src 'self' 'unsafe-inline'; img-src 'self' data; " /> <style> #helloCSP { width: 50px; height: 50px; background: url(data:image/png;base64,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) no-repeat; border: 1px solid red; } </style> </head> …

247 content-security-policy 

W3Cは、そこと呼ばれるHTML5.1で新しい属性であると言うnonceためには、styleおよびscriptそのウェブサイトのコンテンツセキュリティポリシーで使用することができます。 私はそれについてググりましたが、最終的に、この属性が実際に何をするか、それを使用すると何が変わるのかわかりませんでしたか？

139 html  attributes  content-security-policy  nonce 

ページの読み込み時にCAPTCHAを使用していますが、セキュリティ上の理由でブロックされています。 私はこの問題に直面しています： コンテンツセキュリティポリシー：ページの設定により読み込みがブロックされました でのリソースの http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit （ "script-src http://test.com:8080'unsafe-inline''unsafe-eval '"）。 次のJavaScriptとメタタグを使用しました。 <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'"> <script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async defer></script>

104 javascript  jquery  content-security-policy 

5.0.0以上のAndroidシステム（Lollipop）を搭載したデバイスにアプリをデプロイしようとすると、次のようなエラーメッセージが表示され続けます。 07-03 18：39：21.621：D / SystemWebChromeClient（9132）：file：///android_asset/www/index.html：Line 0：Refused to load the script 'http：// xxxxx' for violate the following Contentセキュリティポリシーディレクティブ：「script-src 'self' 'unsafe-eval' 'unsafe-inline'」。07-03 18：39：21.621：I / chromium（9132）：[INFO：CONSOLE（0）] "次のコンテンツセキュリティポリシーディレクティブに違反しているため、スクリプト 'http：// xxx'のロードが拒否されました：" script- src 'self' 'unsafe-eval' 'unsafe-inline' "。 ただし、Androidシステムが4.4.x（KitKat）のモバイルデバイスに展開した場合、セキュリティポリシーはデフォルトのポリシーで機能します。 <meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *"> それから、多分、私はこのようなものに変えるべきだと思いました： <meta http-equiv="Content-Security-Policy" …

99 javascript  android  cordova  content-security-policy 

履歴window.location.replaceを回避し、ページをリロードせずにページ上のアンカーをターゲットにするために使用できますが、iframeではできませんか？ 問題は、CSP（コンテンツセキュリティポリシー）違反、状態をscript-src 'unsafe-inline'有効にする必要があります。CSPを定義していない場合を除いて、CSPを定義して許可しscript-src 'unsafe-inline'ても、同じ違反エラーが発生します。ie11 / chrome / ffでも同じ結果になります。 同じドメイン（同じディレクトリ内）の iframe 。 コンソールでiframeをターゲットにして、コンソールで使用window.location.replace('/samepage.html#onpage_anchor')します。 できます。 これは、ページをリロードすることなく、履歴なしでページ上のアンカーをターゲットにします。 同じコードをアンカーリンクにインラインで配置すると機能します。 外部スクリプトで同じコードを使用すると、csp違反エラーが発生します。 これは、iframe内でなくても正常に機能します。 私は、CSPを作成しようとしたアクションを許可しますが、いなくても、最も寛容なコンテンツセキュリティポリシー可能性は、それを可能にします。 編集：複数のファイルを許可する例をプランカーにまとめて、親/子ページを参照する適切なhrefを使用できるようにします。 プランカーの例に関するメモ： 問題はこれらの例では再現されません。 スクリプトは、iframeでも完全に機能します。ただし、同じコードがローカルサーバーで機能しないか、VPSでライブ実行すると機能しません。 プランカーはある種の抽象化レイヤーを介してブラウザーにコンテンツを提示しているため、CSP違反はプランカーでトリガーされないのではないかと思います。 親のアコーディオンリンクを初めてクリックすると、更新されます。これは、ページが最初にロードされる方法がindex.htmlを参照しないためです。以降のクリックは、ページをリロードしなくても期待どおりに機能します。最初はchild.htmlを参照するため、iframeの問題ではありません これらは、コードを機能させるために変更を必要とせずにコードを表示するのに適した例です（下記のStackoverflowスニペットで機能させるためにhrefを変更する必要がある場合など）。また、javascriptが正常に機能していることも示しています。しかし、それは実際の問題を示していません。実際の問題を確認するには、エディターにロードしてローカルサーバーまたはライブホスティング環境で実行する必要があります。 プランカーの例 スクリプトあり： 履歴 なしスクリプトなし： 履歴あり 簡略化されたコード例 1つのエントリを持つ単純なアコーディオン。問題を再現するのに十分です。 開く/閉じるをクリックすると、アコーディオンが展開/折りたたまれます。JSは必要ありません。JSはまったく同じことを行いますが、履歴はありません。正常に機能しますが、iframeでは機能しません。 コードスニペットのメモ： スニペットを実行して、私が説明していることについてのアイデアを得ることができますが、実際には問題を示していません。 スニペットは実際のブラウザのように動作せず、JavaScriptは機能しません。 スニペットはコードを示していますが、問題を確認するにはiframeで実行する必要があります。iframeの外で実行して、違いとその動作を確認します。 リンクがJSでどのように機能するか（URL全体を置き換える）のため、スニペットに表示されるのと同じようにリンクするのではなく、 実際にはこのようにする必要があります（スニペットの実際のHTMLページをターゲットにすることはできません）。あなたがあれば、あなたのエディタでこれを試してください（行ってください）、その後、することを忘れないでください、この形式へのリンクを変更し、彼らはまだあるので、同じページのアンカー、しかしpage.htmlがリンクに含まれています。href="https://stackoverflow.com/thispage.html#ac1"href="#ac1" this_document.html#anchor コードスニペットを表示 $(document).ready(function() { // anchor links without history $.acAnch = …

15 javascript  html  iframe  browser-history  content-security-policy