Tag: content-security-policy
Content Security Policy (CSP) zielt auf die Minderung der Gefahr von cross-site-scripting Angriffe, indem die Entwickler eine fein abgestimmte Kontrolle über die Ressourcen einer Seite laden darf, wie auch das script es erlaubt, ausgeführt.
3
Antworten
Ich versuche, mich reCAPTCHA Arbeit zusammen mit einer strengen Content-Security-Policy. Dies ist die basic-version, die ich habe, die korrekt funktioniert: HTML <script src='//www.google.com/recaptcha/api.js' async defer></script> HTTP-Header Content-Security-Policy: default-src 'self'; script-src 'self' www.google.com www.gstatic.com; style-src 'self' https: 'unsafe-inline';
3
Antworten
Situation: autoreload von phonegap serve blockiert von content-security-policy meta-tag Hinzufügen von content-security-policy verhindert, dass auto-reload von phonegap serve - Dienstprogramm. Diese baut auf cordova serve aber auto-lädt die app auf die Bearbeitung der Dateien. Es funktioniert durch
2
Antworten
Ich die Notwendigkeit, dieses Skript https://apis.google.com/js/api:client.js in meiner website. Auf Google Chrome funktioniert es einwandfrei, aber auf Firefox (und IE natürlich) bekomme ich einige Fehler: Content-Security-Policy: - Ignorieren "'unsafe-inline'" im Skript-src: 'streng-dynamisch" angegeben Content-Security-Policy: - Ignorieren "https:"
1
Antworten
Kleines problem mit meinem chrome-Erweiterung. Wollte ich nur bekommen ein JSON-array von einem anderen server. Aber manifest 2 erlaubt mir nicht es zu tun. Ich habe versucht, geben Sie content_security_policy, aber die JSON-array gespeichert, auf einem server
2
Antworten
Ich bin der Autor eine Chrome-Erweiterung, die es ermöglicht, zu übersetzen, status-updates und Kommentare direkt auf Facebook: https://chrome.google.com/webstore/detail/facebook-translate/plofenifjagmdikfcobngnfmmnfmphin Für einige Tage jetzt, mein Benutzer und ich bekommen eine Fehlermeldung in der Fehler-Konsole sagt: Weigerte sich, eine Verbindung
3
Antworten
Genauer gesagt: [Report Only] Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAABBQAAoAAAAAG…H8zVsjnmMx0GcZ2HGViNOySWEa9fvEQtW43Nm+EOO0ZIpdLbMXoVzPJkcfHT6U+gLEpz/MAAAA' because it violates the following Content Security Policy directive: "font-src 'self'". dies ist mein contentSecurityPolicy Objekt in environment.js: contentSecurityPolicy: { 'default-src': "'none'", 'script-src': "'self' 'unsafe-inline' 'unsafe-eval' connect.facebook.net",
3
Antworten
Bin ich mit einer externen JavaScript-lib, die in meinem chrome-Erweiterung. Ich habe die inline-Ausführung, so bekomme ich folgende Fehlermeldung (Den Fehler bekomme ich auf der Konsole) Verweigerte die Ausführung von JavaScript-URL, da Sie gegen die folgende Content
3
Antworten
Es gibt gute Artikel, die die Optionen für CSP-Kraftwerke wie dieses: http://www.html5rocks.com/en/tutorials/security/content-security-policy/ Vielleicht ist es ganz klar, denn ich finde keine guten Beispiele, aber wie Sie tatsächlich umsetzen CSP in der Praxis? In PHP können Sie die
2
Antworten
Ich bin zwingen https auf meine website zugreifen, aber einige der Inhalt geladen werden muss, über http (zum Beispiel video-Inhalte können nicht über https), aber der Browser blockieren den Antrag wegen mixed-contents Politik. Nach Stunden von suchen
2
Antworten
Ich versuche, die Bereitstellung meiner-app folgenden code-push-doc. Ich habe dann Hinzugefügt, die folgenden content-security zu meiner app index.html <meta http-equiv="Content-Security-Policy" content="default-src https://codepush.azurewebsites.net 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *"> Sofort fügte ich hinzu, meine
8
Antworten
Ich habe eine web-app, die verwendet localStorage. Jetzt wollen wir das einbetten dieses web app auf andere (Dritte) Seiten via iframe. Wir wollen damit einen iframe einbetten, ähnlich wie bei youtube, so dass andere websites einbetten können
2
Antworten
Folgendes ist mein code der HTML - Scripts: <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script> <script src="background.js"></script> HTML: <button name="btnlogin" id="btnlogin">Login</button><br/><br/> und folgende js $(document).ready(function(){ document.getElementById("#btnlogin").click(function(){ alert("s"); }); }); manifest-Datei: { "manifest_version": 2, "name": "One-click Kittens", "description": "This extension demonstrates a 'browser
2
Antworten
Habe ich eine JavaScript-variable und wenn ich auf den Knopf drücken sollte um 1 erhöht, aber es ist nicht passiert. Hier manifest.json. { "name":"Facebook", "version":"1.0", "description":"My Facebook Profile", "manifest_version":2, "browser_action":{ "default_icon":"google-plus-red-128.png", "default_popup":"hello.html" } } Hier ist der
2
Antworten
Verwenden wir die folgenden CSP-header: default-src 'self' *.ourdomain.com; script-src 'self' *.ourdomain.com 'sha256-[...]' 'unsafe-eval'; connect-src 'self' *.ourdomain.com; style-src 'unsafe-inline' * 'self' data:; font-src *; img-src * 'self' data: Die Empfehlung von unserem security-team nicht nutzen unsafe-eval. Meine Frage
1
Antworten
Ich bekomme immer diese Fehlermeldung: Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security-Policy Richtlinie: "default-src 'self' data: gap: http://www.visitsingapore.com https://ssl.gstatic.com 'unsafe-eval'". Entweder die 'unsafe-inline' - Schlüsselwort, wird ein hash ('sha256-V+/U3qbjHKP0SaNQhMwYNm62gfWX4QHwPJ7we1pxoki='), oder eine nonce ('nonce-...')
3
Antworten
Ist es möglich, konfigurieren Sie die Content-Security-Policy nicht blockiert etwas? Ich bin mit einem computer-Sicherheits-Klasse, und unsere web-hacking-Projekt in Probleme laufen auf neueren Versionen von Chrome, weil ohne CSP-Header, wird es automatisch blockiert bestimmte XSS-Angriffe. InformationsquelleAutor joshlf
5
Antworten
Bauen wir eine ASP.NET website und möchten, dass nur einige domains wer kann iFrame unserer website. CSP ist nicht in internet explorer unterstützt. Ich bin etwas wie Response.AddHeader("Content-Security-Policy", "frame-ancestors mydomain1.com mydomain2.com"). Wie ist jeder Handhabung für den
2
Antworten
Fügte ich folgende Zeilen in meine .htacces-Datei: Content-Security-Policy: default-src 'self' X-Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Aber ich kam immer der folgende Fehler: Invalid command 'Content-Security-Policy:', perhaps misspelled or defined by a module not included in the
2
Antworten
Bemerkte ich nach dem Update auf Google Chrome (21.0.1180.89) ich bin immer Zut Fehler in der Registerkarte "Entwickler"; vor allem, wenn ich Besuch meine eigene phpMyAdmin-Website. Dort sind alle die gleichen und sind eine Art von Sicherheit
2
Antworten
Möchte ich render ein iframe mit der Quelle, die Github etwa so: <iframe src="https://gist.github.com/user45445/9bf8d568e3350146ba302d7d67ad576f"> </iframe> Dies ist der Fehler, bekomme ich in der Konsole: Refused to display 'https://gist.github.com/fresh5447/9bf8d568e3350146ba302d7d67ad576f' in a frame because an ancestor violates the following
3
Antworten
vorausgesetzt wird ein funktionierendes " hello world Beispiel von spring security und spring mvc. wenn ich einen trace mit wireshark sehe ich folgende flags für die http-Anforderung X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Cache-Control: no-cache, no-store, max-age=0, must-revalidate
3
Antworten
Ich mache eine google chrome-Erweiterung, wo ich will zu google maps. Das problem ist, dass wenn ich mein Skript dann gibt es mir diese Fehlermeldung Refused to load script from 'https://maps.googleapis.com/maps/api/js?key=XXXXXXXXXXXXXXXX&sensor=false' because of Content-Security-Policy. Hier ist mein
2
Antworten
Ich die Java-basierte web-Anwendung, die Sie auf Tomcat 6. Meine Anwendung läuft auf localhost und port 9001. Meine Anwendung sicherer und das Risiko zu verringern, XSS Angriffe, ich habe den header Content-Security-Policy mit Wert default-src - *
1
Antworten
Ich versuche, MathJax als Teil unserer web-Anwendung, die ziemlich streng Content Security Policy (CSP). Das problem ist, dass MathJax wird codiert, um die Verwendung eval() [um genau zu sein, in form von Function()], die nicht als sicher
8
Antworten
Ich habe eine web-app, die verwendet localStorage. Jetzt wollen wir das einbetten dieses web app auf andere (Dritte) Seiten via iframe. Wir wollen damit einen iframe einbetten, ähnlich wie bei youtube, so dass andere websites einbetten können
4
Antworten
Ich bin verwirrt über Jenkins Content-Security-Policy. Kenne ich diese Seiten: Konfigurieren Von Content-Security-Policy Content Security Policy Reference Ich habe eine html-Seite angezeigt, die über Jenkins Clover-Plugin. Diese html-Seite verwendet inline-Stil, z.B.: <div class='greenbar' style='width:58px'> Dem div-element visualisiert
1
Antworten
Ich habe eine app, in welcher der Benutzer wäre in der Lage das kopieren einer Bild-URL, fügen Sie Sie zu einem Eingang, und das Bild wird geladen auf einem Feld. Aber meine app, halten das auslösen dieser
2
Antworten
Derzeit bin ich der Definition Content Security Policy (CSP) als unten; Header set Content-Security-Policy: "default-src 'self' data:; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;" Angesichts der CSP-definition oben, ich habe eine Herausforderung mit inline-JavaScript, wie
3
Antworten
Habe ich eine Cordova-app und nach der Aktualisierung (5.0.0) es ich bin nicht in der Lage zu nennen, jede Ressource überhaupt. Ich habe die whitelist-plugin und Hinzugefügt den folgenden tag zu index.html <meta http-equiv="Content-Security-Policy" content="default-src *; style-src
2
Antworten
Ich versuche, verwenden Sie Google Fonts, und ich habe noch nie Probleme gehabt, aber jetzt wenn ich versuche, fügen Sie die CSS-Datei auf meinem header, ich bekomme diese Fehlermeldung auf der Konsole: Weigerte sich, das stylesheet laden
1
Antworten
W3C sagt, es ist ein neues Attribut in HTML5.1 genannten nonce für style und script verwendet werden kann, indem die Content-Security-Policy einer website. Googelte ich über Sie, aber schließlich habe nicht bekommen, was eigentlich dieses Attribut zu
3
Antworten
Bin ich mit dem captcha auf der Seite geladen, aber es wird blockiert, weil einige Sicherheit Grund Ich bin vor problem: Content Security Policy: Die Einstellungen blockiert das laden einer Ressource an http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'").
2
Antworten
Folgendes ist mein code der HTML - Scripts: <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script> <script src="background.js"></script> HTML: <button name="btnlogin" id="btnlogin">Login</button><br/><br/> und folgende js $(document).ready(function(){ document.getElementById("#btnlogin").click(function(){ alert("s"); }); }); manifest-Datei: { "manifest_version": 2, "name": "One-click Kittens", "description": "This extension demonstrates a 'browser
2
Antworten
Dies ist relativ eine Chrome-Erweiterung. Ich versuche einfach, die nutzt die Google-Chart-API Ich habe diesen code in meinem html-Dokument "popup.html", geladen wird, ist auf der klicken Sie auf das Symbol. <!doctype html> <html> <head> <script type="text/javascript" src="js/libs/jquery-1.8.0.min.js"></script>
2
Antworten
Mein Chrome-app hat das folgende manifest: { "name": ", "version": "1.0.3", "manifest_version": 2, "description": "Chrome Extension for.", "icons": { "16": "images/test.png", "19": "images/test.png", "256": "images/test.png" }, "app": { "background": { "scripts": [ "background.js" ] } }, "sandbox":
2
Antworten
Habe ich eine JavaScript-variable und wenn ich auf den Knopf drücken sollte um 1 erhöht, aber es ist nicht passiert. Hier manifest.json. { "name":"Facebook", "version":"1.0", "description":"My Facebook Profile", "manifest_version":2, "browser_action":{ "default_icon":"google-plus-red-128.png", "default_popup":"hello.html" } } Hier ist der
2
Antworten
Ich habe ein Upgrade mein ember-cli-app 0.0.47 und bin jetzt immer ein Haufen Fehler in meinem browser-Konsole im Zusammenhang mit der content security policy. Wie behebe ich dieses Problem? Refused to load the script 'http://use.typekit.net/abcdef.js' because it
4
Antworten
Chrom 18 Dev/Canary ist gerade erschienen, und content_security_policy benötigt werden, die im manifest für bestimmte Erweiterungen. Ich versuche, einen CSP arbeiten für inline-scripting, aber ich weiß nicht, ob ich was falsch mache oder ob dies ein Chrome
5
Antworten
So, in etwa 1 Stunde meine Erweiterungen fehlgeschlagen schwer. Ich war dabei, meine Erweiterung und es war zu tun, was ich Tat. Ich habe einige änderungen gemacht, und da ich nicht mochte, habe ich Sie gelöscht, und
2
Antworten
Ich bin immer ein Haufen Fehler in der Entwickler-Konsole: Weigerte sich zu bewerten, string Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security-Policy-Richtlinie Weigerte sich, laden Sie das Skript Weigerte sich, das stylesheet laden Was
1
Antworten
In diesem einfachen Beispiel, ich bin versucht, einen CSP-header mit den meta-http-equiv-header. Ich enthalten einen base64-image, und ich bin versucht zu machen, Chrome-laden Sie das Bild. Ich dachte, die data Schlüsselwort sollte das tun, aber irgendwie funktioniert
3
Antworten
Ich versuche, mich radio stream chrome-Erweiterung aber es gibt ein problem. Wenn ich mein Skript im browser wie normale JS+HTML+CSS funktioniert es, aber wenn ich versuche es wie von der Tarantel Chrome-Erweiterung bekomme ich diesen Fehler: Verweigert
1
Antworten
Den MDN Seite auf Content-Security-Policy-Richtlinien Staaten die frame-src ist veraltet und Kind-src verwendet werden soll. Aber Firefox 37 gibt die folgende Fehlermeldung, wenn ich versuche, die Kinder-src Content Security Policy: Couldn't process unknown directive 'child-src' <unknown> Diesen
3
Antworten
Ich möchte eine browser-Erweiterung, die erstellt ein sidebar -. Chrome nicht über einen erste-Klasse-Seitenleiste, und so müssen wir stattdessen einen iframe in die Seite. Jedoch, dieser bricht auf vielen Seiten durch content security policy. E. g. GitHub
3
Antworten
Ich versuche zu zählen JQuery auf eine bestehende website verwenden der Konsole so: var script = document.createElement('script'); script.src = 'http://code.jquery.com/jquery-1.11.1.min.js'; script.type = 'text/javascript'; document.getElementsByTagName('head')[0].appendChild(script); Dann bekam ich diese Fehlermeldung: Content Security Policy: The page's settings blocked the
2
Antworten
Ich bin training für Cordova-Anwendung Entwicklung und drehe ich mich um ein problem mit der Content Security Policy. Meine Anwendung läuft mit der Android-emulator, aber wenn ich es ausführen von javascript habe ich eine Nachricht bekommen in
1
Antworten
Mache ich eine Erweiterung für Google chrome aber ich glaube, ich bekomme die folgende Fehlermeldung, wenn ich versuche, um Feuer auf ein onclick() Ereignis. Refused to load the script 'https://apis.google.com/js/client.js?onload=handleClientLoad' because it violates the following Content Security
2
Antworten
Ich habe einen Fehler: Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security Politik-Richtlinie: "script-src 'self' chrome-extension-resource:". Entweder die 'unsafe-inline' Stichwort, eine hash ('sha256-...'), oder eine nonce ('nonce-...') ist erforderlich, damit inline-Ausführung. chrome-extension://ldbpohccneabbobcklhiakmbhoblcpof/popup.html-Datei:1 Weigerte sich
3
Antworten
Beim Einsatz eines content-security-policy, und ich versuche zu Folgen, ein Prozess, in Chrome 41 (beta) mit Fenster.URL.createObjectURL bekomme ich eine Fehlermeldung wie die folgende: Weigerte load plugin die Daten aus dem blob:http%3A//localhost%3A7000/f59612b8-c760-43a4-98cd-fe2a44648393', da Sie gegen die folgende