Tag: content-security-policy
Content Security Policy (CSP) zielt auf die Minderung der Gefahr von cross-site-scripting Angriffe, indem die Entwickler eine fein abgestimmte Kontrolle über die Ressourcen einer Seite laden darf, wie auch das script es erlaubt, ausgeführt.
reCAPTCHA mit Content-Security-Policy
3 Antworten
Ich versuche, mich reCAPTCHA Arbeit zusammen mit einer strengen Content-Security-Policy. Dies ist die basic-version, die ich habe, die korrekt funktioniert: HTML <script src='//www.google.com/recaptcha/api.js' async defer></script> HTTP-Header Content-Security-Policy: default-src 'self'; script-src 'self' www.google.com www.gstatic.com; style-src 'self' https: 'unsafe-inline';
content-security-policy meta-tag für die Ermöglichung der web-socket
3 Antworten
Situation: autoreload von phonegap serve blockiert von content-security-policy meta-tag Hinzufügen von content-security-policy verhindert, dass auto-reload von phonegap serve - Dienstprogramm. Diese baut auf cordova serve aber auto-lädt die app auf die Bearbeitung der Dateien. Es funktioniert durch
Content-security-policy inklusive eines Skripts
2 Antworten
Ich die Notwendigkeit, dieses Skript https://apis.google.com/js/api:client.js in meiner website. Auf Google Chrome funktioniert es einwandfrei, aber auf Firefox (und IE natürlich) bekomme ich einige Fehler: Content-Security-Policy: - Ignorieren "'unsafe-inline'" im Skript-src: 'streng-dynamisch" angegeben Content-Security-Policy: - Ignorieren "https:"
Holen Sie JSON in eine Chrome-Erweiterung
1 Antworten
Kleines problem mit meinem chrome-Erweiterung. Wollte ich nur bekommen ein JSON-array von einem anderen server. Aber manifest 2 erlaubt mir nicht es zu tun. Ich habe versucht, geben Sie content_security_policy, aber die JSON-array gespeichert, auf einem server
Weigerte sich, zu verbinden, [url], da Sie gegen die folgende Content-Security-Policy-Richtlinie
2 Antworten
Ich bin der Autor eine Chrome-Erweiterung, die es ermöglicht, zu übersetzen, status-updates und Kommentare direkt auf Facebook: https://chrome.google.com/webstore/detail/facebook-translate/plofenifjagmdikfcobngnfmmnfmphin Für einige Tage jetzt, mein Benutzer und ich bekommen eine Fehlermeldung in der Fehler-Konsole sagt: Weigerte sich, eine Verbindung
"[Bericht Nur] Weigerte sich, laden Sie die schriftart..." - Fehlermeldung auf der Konsole
3 Antworten
Genauer gesagt: [Report Only] Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAABBQAAoAAAAAG…H8zVsjnmMx0GcZ2HGViNOySWEa9fvEQtW43Nm+EOO0ZIpdLbMXoVzPJkcfHT6U+gLEpz/MAAAA' because it violates the following Content Security Policy directive: "font-src 'self'". dies ist mein contentSecurityPolicy Objekt in environment.js: contentSecurityPolicy: { 'default-src': "'none'", 'script-src': "'self' 'unsafe-inline' 'unsafe-eval' connect.facebook.net",
Chrome Extension - Content-Security-Policy - ausführen von inline-code
3 Antworten
Bin ich mit einer externen JavaScript-lib, die in meinem chrome-Erweiterung. Ich habe die inline-Ausführung, so bekomme ich folgende Fehlermeldung (Den Fehler bekomme ich auf der Konsole) Verweigerte die Ausführung von JavaScript-URL, da Sie gegen die folgende Content
Wie implementieren von content-security-policy?
3 Antworten
Es gibt gute Artikel, die die Optionen für CSP-Kraftwerke wie dieses: http://www.html5rocks.com/en/tutorials/security/content-security-policy/ Vielleicht ist es ganz klar, denn ich finde keine guten Beispiele, aber wie Sie tatsächlich umsetzen CSP in der Praxis? In PHP können Sie die
Wie kann ich erlauben, Gemischte Inhalte (http mit https) Einsatz von content-security-policy meta-tag?
2 Antworten
Ich bin zwingen https auf meine website zugreifen, aber einige der Inhalt geladen werden muss, über http (zum Beispiel video-Inhalte können nicht über https), aber der Browser blockieren den Antrag wegen mixed-contents Politik. Nach Stunden von suchen
Weigerte sich, das Bild laden, weil er gegen content-Sicherheit-Politik — Cordova
2 Antworten
Ich versuche, die Bereitstellung meiner-app folgenden code-push-doc. Ich habe dann Hinzugefügt, die folgenden content-security zu meiner app index.html <meta http-equiv="Content-Security-Policy" content="default-src https://codepush.azurewebsites.net 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *"> Sofort fügte ich hinzu, meine
Iframe in Chrome Fehler: Failed to read 'localStorage' vom 'Fenster': Zugriff verweigert für dieses Dokument
8 Antworten
Ich habe eine web-app, die verwendet localStorage. Jetzt wollen wir das einbetten dieses web app auf andere (Dritte) Seiten via iframe. Wir wollen damit einen iframe einbetten, ähnlich wie bei youtube, so dass andere websites einbetten können
Erweiterung weigert sich zu laden, das Skript aufgrund von Content-Security-Policy-Richtlinie
2 Antworten
Folgendes ist mein code der HTML - Scripts: <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script> <script src="background.js"></script> HTML: <button name="btnlogin" id="btnlogin">Login</button><br/><br/> und folgende js $(document).ready(function(){ document.getElementById("#btnlogin").click(function(){ alert("s"); }); }); manifest-Datei: { "manifest_version": 2, "name": "One-click Kittens", "description": "This extension demonstrates a 'browser
Die Chrome-Erweiterung popup nicht funktioniert, klicken Sie auf Ereignisse, die nicht behandelt werden
2 Antworten
Habe ich eine JavaScript-variable und wenn ich auf den Knopf drücken sollte um 1 erhöht, aber es ist nicht passiert. Hier manifest.json. { "name":"Facebook", "version":"1.0", "description":"My Facebook Profile", "manifest_version":2, "browser_action":{ "default_icon":"google-plus-red-128.png", "default_popup":"hello.html" } } Hier ist der
Content Security Policy (CSP) - sichere Verwendung von unsafe-eval?
2 Antworten
Verwenden wir die folgenden CSP-header: default-src 'self' *.ourdomain.com; script-src 'self' *.ourdomain.com 'sha256-[...]' 'unsafe-eval'; connect-src 'self' *.ourdomain.com; style-src 'unsafe-inline' * 'self' data:; font-src *; img-src * 'self' data: Die Empfehlung von unserem security-team nicht nutzen unsafe-eval. Meine Frage
Skript bewirkt, dass "Refused to execute inline script: Entweder die 'unsafe-inline' - Schlüsselwort, wird ein hash... oder eine nonce, die benötigt wird, um zu ermöglichen inline-Ausführung"
1 Antworten
Ich bekomme immer diese Fehlermeldung: Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security-Policy Richtlinie: "default-src 'self' data: gap: http://www.visitsingapore.com https://ssl.gstatic.com 'unsafe-eval'". Entweder die 'unsafe-inline' - Schlüsselwort, wird ein hash ('sha256-V+/U3qbjHKP0SaNQhMwYNm62gfWX4QHwPJ7we1pxoki='), oder eine nonce ('nonce-...')
Alle Zulassen-Content-Security-Policy?
3 Antworten
Ist es möglich, konfigurieren Sie die Content-Security-Policy nicht blockiert etwas? Ich bin mit einem computer-Sicherheits-Klasse, und unsere web-hacking-Projekt in Probleme laufen auf neueren Versionen von Chrome, weil ohne CSP-Header, wird es automatisch blockiert bestimmte XSS-Angriffe. InformationsquelleAutor joshlf
Content-Security-Policy (CSP) Problem mit internet explorer
5 Antworten
Bauen wir eine ASP.NET website und möchten, dass nur einige domains wer kann iFrame unserer website. CSP ist nicht in internet explorer unterstützt. Ich bin etwas wie Response.AddHeader("Content-Security-Policy", "frame-ancestors mydomain1.com mydomain2.com"). Wie ist jeder Handhabung für den
Content-Security-Policy " - Ungültiger Befehl
2 Antworten
Fügte ich folgende Zeilen in meine .htacces-Datei: Content-Security-Policy: default-src 'self' X-Content-Security-Policy: default-src 'self' X-WebKit-CSP: default-src 'self' Aber ich kam immer der folgende Fehler: Invalid command 'Content-Security-Policy:', perhaps misspelled or defined by a module not included in the
Unbekannte Content-Security-Policy-Richtlinie
2 Antworten
Bemerkte ich nach dem Update auf Google Chrome (21.0.1180.89) ich bin immer Zut Fehler in der Registerkarte "Entwickler"; vor allem, wenn ich Besuch meine eigene phpMyAdmin-Website. Dort sind alle die gleichen und sind eine Art von Sicherheit
Rendern iframe: Vorfahren gegen die folgenden Content-Security-Policy Richtlinie: "frame-Vorfahren 'none'"
2 Antworten
Möchte ich render ein iframe mit der Quelle, die Github etwa so: <iframe src="https://gist.github.com/user45445/9bf8d568e3350146ba302d7d67ad576f"> </iframe> Dies ist der Fehler, bekomme ich in der Konsole: Refused to display 'https://gist.github.com/fresh5447/9bf8d568e3350146ba302d7d67ad576f' in a frame because an ancestor violates the following
Content-Security-Policy, Spring Security
3 Antworten
vorausgesetzt wird ein funktionierendes " hello world Beispiel von spring security und spring mvc. wenn ich einen trace mit wireshark sehe ich folgende flags für die http-Anforderung X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Cache-Control: no-cache, no-store, max-age=0, must-revalidate
google-maps-api-script nicht laden wegen content-security-policy
3 Antworten
Ich mache eine google chrome-Erweiterung, wo ich will zu google maps. Das problem ist, dass wenn ich mein Skript dann gibt es mir diese Fehlermeldung Refused to load script from 'https://maps.googleapis.com/maps/api/js?key=XXXXXXXXXXXXXXXX&sensor=false' because of Content-Security-Policy. Hier ist mein
Content Security Policy: Die Einstellungen blockiert das laden einer Ressource auf sich selbst?
2 Antworten
Ich die Java-basierte web-Anwendung, die Sie auf Tomcat 6. Meine Anwendung läuft auf localhost und port 9001. Meine Anwendung sicherer und das Risiko zu verringern, XSS Angriffe, ich habe den header Content-Security-Policy mit Wert default-src - *
CSP: Wie können unsafe-eval für einen bestimmten URI-Präfix (Firefox)
1 Antworten
Ich versuche, MathJax als Teil unserer web-Anwendung, die ziemlich streng Content Security Policy (CSP). Das problem ist, dass MathJax wird codiert, um die Verwendung eval() [um genau zu sein, in form von Function()], die nicht als sicher
Iframe in Chrome Fehler: Failted zu Lesen 'localStorage' vom 'Fenster': Zugriff verweigert für dieses Dokument
8 Antworten
Ich habe eine web-app, die verwendet localStorage. Jetzt wollen wir das einbetten dieses web app auf andere (Dritte) Seiten via iframe. Wir wollen damit einen iframe einbetten, ähnlich wie bei youtube, so dass andere websites einbetten können
Jenkins Content-Security-Policy
4 Antworten
Ich bin verwirrt über Jenkins Content-Security-Policy. Kenne ich diese Seiten: Konfigurieren Von Content-Security-Policy Content Security Policy Reference Ich habe eine html-Seite angezeigt, die über Jenkins Clover-Plugin. Diese html-Seite verwendet inline-Stil, z.B.: <div class='greenbar' style='width:58px'> Dem div-element visualisiert
Content Security Policy: "img-src 'self' data:"
1 Antworten
Ich habe eine app, in welcher der Benutzer wäre in der Lage das kopieren einer Bild-URL, fügen Sie Sie zu einem Eingang, und das Bild wird geladen auf einem Feld. Aber meine app, halten das auslösen dieser
Was hat die CSP, die uns schützen wenn was unsafe-inline
2 Antworten
Derzeit bin ich der Definition Content Security Policy (CSP) als unten; Header set Content-Security-Policy: "default-src 'self' data:; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;" Angesichts der CSP-definition oben, ich habe eine Herausforderung mit inline-JavaScript, wie
Cordova Content-Security-Policy
3 Antworten
Habe ich eine Cordova-app und nach der Aktualisierung (5.0.0) es ich bin nicht in der Lage zu nennen, jede Ressource überhaupt. Ich habe die whitelist-plugin und Hinzugefügt den folgenden tag zu index.html <meta http-equiv="Content-Security-Policy" content="default-src *; style-src
Google Fonts gegen Content-Security-Policy
2 Antworten
Ich versuche, verwenden Sie Google Fonts, und ich habe noch nie Probleme gehabt, aber jetzt wenn ich versuche, fügen Sie die CSS-Datei auf meinem header, ich bekomme diese Fehlermeldung auf der Konsole: Weigerte sich, das stylesheet laden
Was ist der Zweck der HTML - "nonce" - Attribut für das script-und style-Elemente?
1 Antworten
W3C sagt, es ist ein neues Attribut in HTML5.1 genannten nonce für style und script verwendet werden kann, indem die Content-Security-Policy einer website. Googelte ich über Sie, aber schließlich habe nicht bekommen, was eigentlich dieses Attribut zu
Inhaltssicherheitsrichtlinie: Die Einstellungen der Seite blockierten das Laden einer Ressource
3 Antworten
Bin ich mit dem captcha auf der Seite geladen, aber es wird blockiert, weil einige Sicherheit Grund Ich bin vor problem: Content Security Policy: Die Einstellungen blockiert das laden einer Ressource an http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit ("script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'").
Erweiterung verweigert das Laden des Skripts aufgrund der Direktive für Inhaltssicherheitsrichtlinien
2 Antworten
Folgendes ist mein code der HTML - Scripts: <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script> <script src="background.js"></script> HTML: <button name="btnlogin" id="btnlogin">Login</button><br/><br/> und folgende js $(document).ready(function(){ document.getElementById("#btnlogin").click(function(){ alert("s"); }); }); manifest-Datei: { "manifest_version": 2, "name": "One-click Kittens", "description": "This extension demonstrates a 'browser
Inhaltssicherheitsrichtlinie: Die Google API kann nicht in der Chrome-Erweiterung geladen werden
2 Antworten
Dies ist relativ eine Chrome-Erweiterung. Ich versuche einfach, die nutzt die Google-Chart-API Ich habe diesen code in meinem html-Dokument "popup.html", geladen wird, ist auf der klicken Sie auf das Symbol. <!doctype html> <html> <head> <script type="text/javascript" src="js/libs/jquery-1.8.0.min.js"></script>
Inhaltssicherheitsrichtlinie in Chrome App
2 Antworten
Mein Chrome-app hat das folgende manifest: { "name": ", "version": "1.0.3", "manifest_version": 2, "description": "Chrome Extension for.", "icons": { "16": "images/test.png", "19": "images/test.png", "256": "images/test.png" }, "app": { "background": { "scripts": [ "background.js" ] } }, "sandbox":
Das Popup-Fenster für die Chrome-Erweiterung funktioniert nicht. Klick-Ereignisse werden nicht verarbeitet
2 Antworten
Habe ich eine JavaScript-variable und wenn ich auf den Knopf drücken sollte um 1 erhöht, aber es ist nicht passiert. Hier manifest.json. { "name":"Facebook", "version":"1.0", "description":"My Facebook Profile", "manifest_version":2, "browser_action":{ "default_icon":"google-plus-red-128.png", "default_popup":"hello.html" } } Hier ist der
Verstoß gegen die Richtlinie zur Inhaltssicherheitsrichtlinie nach dem Upgrade von ember-cli 0.0.47
2 Antworten
Ich habe ein Upgrade mein ember-cli-app 0.0.47 und bin jetzt immer ein Haufen Fehler in meinem browser-Konsole im Zusammenhang mit der content security policy. Wie behebe ich dieses Problem? Refused to load the script 'http://use.typekit.net/abcdef.js' because it
Chrome 18+: Wie kann Inline-Skripting mit einer Inhaltssicherheitsrichtlinie zugelassen werden?
4 Antworten
Chrom 18 Dev/Canary ist gerade erschienen, und content_security_policy benötigt werden, die im manifest für bestimmte Erweiterungen. Ich versuche, einen CSP arbeiten für inline-scripting, aber ich weiß nicht, ob ich was falsch mache oder ob dies ein Chrome
Die Anwendung der Inline-Formatvorlage wurde abgelehnt, da sie gegen die folgende Inhaltssicherheitsrichtlinienrichtlinie verstößt
5 Antworten
So, in etwa 1 Stunde meine Erweiterungen fehlgeschlagen schwer. Ich war dabei, meine Erweiterung und es war zu tun, was ich Tat. Ich habe einige änderungen gemacht, und da ich nicht mochte, habe ich Sie gelöscht, und
Wie funktioniert die Inhaltssicherheitsrichtlinie?
2 Antworten
Ich bin immer ein Haufen Fehler in der Entwickler-Konsole: Weigerte sich zu bewerten, string Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security-Policy-Richtlinie Weigerte sich, laden Sie das Skript Weigerte sich, das stylesheet laden Was
Inhaltssicherheitsrichtlinie "Daten" funktionieren nicht für base64-Bilder in Chrome 28
1 Antworten
In diesem einfachen Beispiel, ich bin versucht, einen CSP-header mit den meta-http-equiv-header. Ich enthalten einen base64-image, und ich bin versucht zu machen, Chrome-laden Sie das Bild. Ich dachte, die data Schlüsselwort sollte das tun, aber irgendwie funktioniert
Chrome-Erweiterung Inhaltsrichtlinienrichtlinie-Direktivitätsfehler
3 Antworten
Ich versuche, mich radio stream chrome-Erweiterung aber es gibt ein problem. Wenn ich mein Skript im browser wie normale JS+HTML+CSS funktioniert es, aber wenn ich versuche es wie von der Tarantel Chrome-Erweiterung bekomme ich diesen Fehler: Verweigert
Wie benutze ich frame-src und child-src in Firefox und anderen Browsern?
1 Antworten
Den MDN Seite auf Content-Security-Policy-Richtlinien Staaten die frame-src ist veraltet und Kind-src verwendet werden soll. Aber Firefox 37 gibt die folgende Fehlermeldung, wenn ich versuche, die Kinder-src Content Security Policy: Couldn't process unknown directive 'child-src' <unknown> Diesen
Iframe in Seite mit restriktiver Inhaltssicherheitsrichtlinie einfügen
3 Antworten
Ich möchte eine browser-Erweiterung, die erstellt ein sidebar -. Chrome nicht über einen erste-Klasse-Seitenleiste, und so müssen wir stattdessen einen iframe in die Seite. Jedoch, dieser bricht auf vielen Seiten durch content security policy. E. g. GitHub
Wie überschreibt man die Inhaltssicherheitsrichtlinie beim Einbinden des Skripts in die JS-Konsole des Browsers?
3 Antworten
Ich versuche zu zählen JQuery auf eine bestehende website verwenden der Konsole so: var script = document.createElement('script'); script.src = 'http://code.jquery.com/jquery-1.11.1.min.js'; script.type = 'text/javascript'; document.getElementsByTagName('head')[0].appendChild(script); Dann bekam ich diese Fehlermeldung: Content Security Policy: The page's settings blocked the
Cordova - verweigern die Ausführung von Inline-Ereignishandlern, da sie gegen die Sicherheitsrichtlinien des folgenden Inhalts verstoßen
2 Antworten
Ich bin training für Cordova-Anwendung Entwicklung und drehe ich mich um ein problem mit der Content Security Policy. Meine Anwendung läuft mit der Android-emulator, aber wenn ich es ausführen von javascript habe ich eine Nachricht bekommen in
Wie behebt man den Inline-JavaScript-Aufruffehler von chrome-extension?
1 Antworten
Mache ich eine Erweiterung für Google chrome aber ich glaube, ich bekomme die folgende Fehlermeldung, wenn ich versuche, um Feuer auf ein onclick() Ereignis. Refused to load the script 'https://apis.google.com/js/client.js?onload=handleClientLoad' because it violates the following Content Security
Chrome-Erweiterung "Abgelehnt, um eine Zeichenfolge als JavaScript zu bewerten, da 'unsafe-eval'
2 Antworten
Ich habe einen Fehler: Verweigert das ausführen von inline-script, weil es gegen die folgenden Content-Security Politik-Richtlinie: "script-src 'self' chrome-extension-resource:". Entweder die 'unsafe-inline' Stichwort, eine hash ('sha256-...'), oder eine nonce ('nonce-...') ist erforderlich, damit inline-Ausführung. chrome-extension://ldbpohccneabbobcklhiakmbhoblcpof/popup.html-Datei:1 Weigerte sich
Content-Security-Policy-Objekt-Quellcode-Blob
3 Antworten
Beim Einsatz eines content-security-policy, und ich versuche zu Folgen, ein Prozess, in Chrome 41 (beta) mit Fenster.URL.createObjectURL bekomme ich eine Fehlermeldung wie die folgende: Weigerte load plugin die Daten aus dem blob:http%3A//localhost%3A7000/f59612b8-c760-43a4-98cd-fe2a44648393', da Sie gegen die folgende