Pytania otagowane jako content-security-policy

W konsoli programisty pojawia się mnóstwo błędów: Odmowa oceny ciągu Odmowa wykonania skryptu wbudowanego, ponieważ narusza następującą dyrektywę dotyczącą zasad bezpieczeństwa treści Odmowa załadowania skryptu Odmowa załadowania arkusza stylów O co w tym wszystkim chodzi? Jak działa Polityka bezpieczeństwa treści? Jak korzystać z Content-Security-Policynagłówka HTTP? W szczególności, jak ... ... …

248 javascript  html  security  http-headers  content-security-policy 

W tym prostym przykładzie próbuję ustawić nagłówek CSP z nagłówkiem meta http-equiv. Zawarłem obraz base64 i staram się, aby Chrome załadował obraz. Myślałem, że datasłowo kluczowe powinno to zrobić, ale jakoś nie działa. W Narzędziach programisty pojawia się następujący błąd: Odmówił załadować 'danych: image / png; base64, R0lGODlhDwAPAOZEAMkJCfAwMMYGBtZMTP75 + euIiPFBP …

247 content-security-policy 

W3C mówi, że jest to nowy atrybut w HTML5.1 nazywane noncedla stylei scriptktóre mogą być stosowane w treści polityki bezpieczeństwa strony internetowej. Wyszukałem w Google, ale w końcu nie rozumiem, co właściwie robi ten atrybut i co się zmienia, gdy go używam?

140 html  attributes  content-security-policy  nonce 

Kiedy próbowałem wdrożyć moją aplikację na urządzeniach z systemem Android powyżej 5.0.0 ( Lollipop ), otrzymywałem następujące komunikaty o błędach: 07-03 18: 39: 21.621: D / SystemWebChromeClient (9132): file: ///android_asset/www/index.html: Line 0: odmówiono załadowania skryptu „http: // xxxxx”, ponieważ narusza on następującą treść Dyrektywa zasad bezpieczeństwa: "script-src 'self' 'unsafe-eval' 'unsafe-inline'". …

107 javascript  android  cordova  content-security-policy 

Używam CAPTCHA podczas ładowania strony, ale blokuje się z jakichś powodów bezpieczeństwa. Stoję przed tym problemem: Polityka bezpieczeństwa treści: ustawienia strony zablokowały ładowanie zasobu w http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit („script-src http://test.com:8080 'unsafe-inline' 'unsafe-eval'”). Użyłem następującego kodu JavaScript i metatagu: <meta http-equiv="Content-Security-Policy" content="default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'"> <script src="http://www.google.com/recaptcha/api.js?onload=myCallBack&render=explicit" async …

104 javascript  jquery  content-security-policy 

Możemy użyć, window.location.replaceaby ominąć historię i celować w kotwice na stronie bez przeładowań strony, ale nie w ramkach iframe? Problemem jest naruszenie CSP (polityka bezpieczeństwa treści), które script-src 'unsafe-inline'muszą być włączone. Tyle że nie mam zdefiniowanego CSP, a nawet jeśli go zdefiniuję i pozwolę, script-src 'unsafe-inline'że nadal daje ten sam …

15 javascript  html  iframe  browser-history  content-security-policy