Tag: content security policy

在Chrome扩展中获取JSON

我的Chrome扩展的小问题。 我只是想从另一台服务器获取JSON数组。 但是舱单2不允许我这样做。 我试过指定content_security_policy ，但是JSON数组存储在没有SSL证书的服务器上。 那么，我应该怎么做，而不使用清单1？

使用限制性内容安全策略将iframe注入页面

我想创build一个浏览器扩展，它创build一个侧边栏.Chrome没有一stream的侧边栏，所以我们必须在页面中放置一个iframe。 但是，由于内容安全策略，这在许多页面上都会中断。 例如，GitHub使用CSP，它不允许来自其他站点的iframe被embedded其中。 例如，如果您尝试将capitalone.com网站放在GitHub上的iframe中，您将得到以下结果： 拒绝框架“ https://www.capitalone.com/ ”，因为它违反了以下内容安全政策指令：“frame-src”self“render.githubusercontent.com www.youtube.com assets.braintreegateway.com”。 这是一个简单的浏览器扩展来重现： chrome.tabs.onUpdated.addListener(function(tabId, changeInfo, tab) { if (changeInfo.status === 'complete') { chrome.tabs.executeScript(tabId, { code: 'document.body.innerHTML=\'<iframe style=\"width:600px; height:600px\" src=\"https://www.capitalone.com/\"></iframe>\' + document.body.innerHTML;' }, function() { console.log('Iframe injection complete'); }) } }.bind(this)); 然而，根据维基百科，浏览器扩展应该能够注入一个iframe，尽pipe有任何内容安全策略： 根据CSP处理模型，[20] CSP不应该干扰用户安装的浏览器插件或扩展的操作。 CSP的这一特性有效地允许任何插件或扩展插入脚本到网站，不pipe脚本的来源如何，从而免除CSP策略。 除了我在做什么之外，还有其他一些方法可以注入iframe吗？

控制台显示有关内容安全策略和许多失败的GET请求的错误

我实际上正在研究我的第一个Chrome扩展， 即使它运行平稳，我从我用来检索一些数据和关于代码的安全性恼人的错误get()函数有很多错误。 以下是控制台日志的屏幕截图 ： 以下是涉及的代码： popup.html <!doctype html> <html> <head> <title>NGI Little Helper – Subscribes</title> <link rel="stylesheet" href="popup.css"> <!– JavaScript and HTML must be in separate files for security. –> <script type="text/javascript" src="common/jquery.js"></script> <script type="text/javascript" src="popup.js"></script> </head> <body> <h1>Topics</h1> <div id="content">..:: Loading ::..</div> </body> </html> popup.js 这个脚本开始制作一个$.get()到一个远程网页。 variablesdata的内容可以在这里find $.get("http://gaming.ngi.it/subscription.php?do=viewsubscription", function(data) { var TDs = $('td[id*="td_threadtitle_"]', […]

内容安全政策如何运作？

我在开发者控制台中遇到了一堆错误： 拒绝评估一个string 拒绝执行内联脚本，因为它违反了以下内容安全策略指令 拒绝加载脚本 拒绝加载样式表 这是关于什么的？ 内容安全政策如何运作？ 如何使用Content-Security-Policy HTTP标头？ 具体来说，如何… …允许多个来源？ …使用不同的指令？ …使用多个指令？ 处理端口？ …处理不同的协议？ …允许file://协议？ …使用内联样式，脚本和标签<style>和<script> ？ …允许eval() ？ 最后： 'self'究竟是什么意思？

Chrome扩展程序popup式窗口不起作用，点击事件无法处理

我已经创build了一个JavaScriptvariables，当我点击button应该增加1，但没有发生。 这里是manifest.json 。 { "name":"Facebook", "version":"1.0", "description":"My Facebook Profile", "manifest_version":2, "browser_action":{ "default_icon":"google-plus-red-128.png", "default_popup":"hello.html" } } 这是html页面的代码 <!DOCTYPE html> <html> <head> <script> var a=0; function count() { a++; document.getElementById("demo").innerHTML=a; return a; } </script> </head> <body> <p id="demo">=a</p> <button type="button" onclick="count()">Count</button> </body> </html> 我希望扩展名显示a的值，并在每次单击扩展名或button时将其加1