Публикации по теме 'content-security-policy'
Обход политики безопасности контента в расширении Chrome
Как правило, пытаться обойти Content Security Policy в наших приложениях — очень плохая идея. Тем не менее, есть один частный случай, в котором мы хотели бы избавиться от него, чтобы свободно загружать некоторые дополнительные ресурсы по сети. Я говорю о расширениях Chrome. В зависимости от вашей архитектуры вы можете быть ограничены правилами CSP, и если это так, эта статья поможет вам преодолеть это.
Когда это происходит?
Если ваше расширение отображает себя поверх страницы,..
Политика безопасности контента - что вам нужно знать?
Алоха, разработчики, это джайниш, SDE-1 @ Innovaccer Analytics. Вкратце, я являюсь разработчиком JavaScript, работающим над созданием устойчивых многократно используемых компонентов в React.js. Я и моя команда работаем над созданием платформы для размещения, создания и управления информационными панелями для наших партнеров по здравоохранению в США. Мы создали множество функций, таких как создание панели мониторинга на основе кликов, модуль разрешений для ACL, простое создание..
CSP, правильное решение для пандемии веб-скимминга?
В последнее время меня много спрашивают о политике безопасности контента (CSP) как о возможном решении для Magecart и других атак с использованием веб-скимминга. Компании, в основном сайты электронной коммерции, активно ищут способ справиться с этой новой угрозой. CSP, которое не является дорогостоящим решением, стало неотъемлемой частью многих наборов инструментов безопасности.
Но действительно ли это решение, которое вам действительно нужно для борьбы с Magecart?
Конкурс..
Вопросы по теме 'content-security-policy'
Chrome версии 18+: как разрешить встроенные сценарии с политикой безопасности контента?
Chrome 18 Dev / Canary только что выпущен, и content_security_policy будет быть необходимо в манифесте для определенных расширений.
Я пытаюсь заставить CSP работать для встроенных сценариев, но не знаю, делаю ли я что-то не так или это ошибка...
87373 просмотров
schedule
16.04.2022
Механизмы шаблонов Javascript, которые работают с политикой безопасности контента Chrome
В манифесте Chrome API версии 2 удалена возможность выполнения небезопасной оценки. Это означает использование функции eval или вообще динамическое создание функции из текста.
Похоже, что большинство, если не все шаблонизаторы Javascript делают...
2266 просмотров
schedule
08.07.2023
Google Chrome: отказался выполнять встроенный скрипт
В свете изменения политики безопасности содержимого хрома я переместил весь скрипт в отдельные файлы и ссылаюсь на них на html-страницах (фон и всплывающее окно) для моего расширения хрома. Но я все еще получаю следующее сообщение
Refused to...
5197 просмотров
schedule
21.09.2022
Почему моя политика безопасности контента работает везде, кроме Safari
Я определил свою политику безопасности как:
default-src 'self'; script-src 'self'; frame-src 'self'; style-src 'self' 'unsafe-inline';
(У меня все еще есть CSS во главе нескольких страниц).
У меня нет проблем с Firefox или Chrome (IE...
7339 просмотров
schedule
02.11.2023
Eval() не выполняется в Chrome при использовании Content-Security-Policy-Report-Only
При использовании режима "только отчет" Content-Security-Policy Chrome больше не выполняет eval() .
В следующем примере я ожидал бы получить 2 отчета (один для встроенного скрипта и один для eval ), а также увидеть всплывающее окно. Но в...
453 просмотров
schedule
26.01.2024
Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности содержимого
Итак, примерно через 1 час мои расширения сильно не сработали.
Я делал свое расширение, и оно делало то, что я притворялся. Я внес некоторые изменения и, поскольку мне это не понравилось, я удалил их, и теперь мое расширение выдает ошибку:...
156664 просмотров
schedule
11.06.2022
Белый список нескольких доменов в политике безопасности контента
Я пишу расширение для Chrome, которое должно иметь два домена в белом списке для политики безопасности контента. Я просмотрел официальные документы, но до сих пор не могу понять правильный синтаксис.
Следующее не работает:...
23968 просмотров
schedule
03.10.2022
Хостинг видеопотоков
Добрый день! Я новичок в потоковом видео. Можете ли вы помочь мне найти хорошие способы сделать потоковое видео безопасным?
У меня возникли проблемы с безопасностью проекта видеохостинга.
Я создаю веб-страницу, которая вызывает видеопоток,...
273 просмотров
schedule
14.12.2023
Как избежать вызова JQuery globalEval при использовании AngularJS в упакованных приложениях Chrome?
Я создаю упакованное приложение Chrome, где, согласно CSP, мне не разрешено использовать метод eval(). Теперь, поскольку я использую JQuery (версия 1.10.2) и AngularJS (версия 1.0.6), один из методов библиотеки вызывает JQuery globalEval внутри....
1017 просмотров
schedule
08.03.2023
Букмарклет Javascript на сайте с CSP в Firefox
У меня есть простой букмарклет Javascript, который я собрал для запуска содержимого соответствующего репозитория GitHub с помощью внешнего инструмента:
javascript:(function(){
var isApex = false;
var sourceLangs =...
1734 просмотров
schedule
14.07.2023
Политика безопасности контента: не удалось проанализировать недопустимое исходное расширение chrome
Я получаю новую ошибку в моей консоли JS в Firefox, и я не изменил код. Я не получаю эту ошибку в других браузерах и, похоже, не влияет на функциональность моего кода. Это, очевидно, каким-то образом связано с Firefox, но, похоже, указывает на...
10973 просмотров
schedule
18.09.2022
Политика безопасности контента в расширении Mozilla
У меня есть расширение и в Mozilla, и в Chrome, в моем расширении я делаю вызов удаленного JS-файла.
Чтобы избежать CSP в Chrome, я добавляю правило в manifest.json, и мой файл передается через HTTPS, поэтому все идеально.
Но в Мозилле я не смог...
1264 просмотров
schedule
06.11.2022
Политика безопасности XSS и контента
Читая шпаргалку по предотвращению XSS (межсайтовый скриптинг) , я осведомлены о том, что такое экранирование с учетом контекста.
В некоторых других своих проектах я использовал Zend_Escaper , но мне интересно, достаточно ли этого для...
282 просмотров
schedule
31.01.2024
Может ли Rails отображать формы без встроенного CSS для более строгой политики безопасности содержимого?
Я хотел бы реализовать максимально строгую политику безопасности контента (CSP). Согласно этому введению в CSP , встроенные стили плохи ( выделение мое):
Встроенный стиль обрабатывается таким же образом: и атрибут стиля, и теги стиля должны...
266 просмотров
schedule
28.07.2022
Chrome v. 39 и HTTP-заголовок Content-Security-Policy
Недавно мы обнаружили интересную ошибку в недавно выпущенной версии Chrome v.39.
Он просто вылетел со стандартным "Aw Snap!" сообщение на каждой странице с iframe, если этот iframe загружает страницу с HTTP-заголовком Content-Security-Policy. Это...
411 просмотров
schedule
16.03.2023
Политика безопасности содержимого Gmail для расширений Chrome
Gmail только что обновил свою Политику безопасности контента: http://googleonlinesecurity.blogspot.com/2014/12/reject-unexpected-content-security.html
Это выдает ошибку для моего расширения Chrome, которое дополняет Gmail. Чтобы было ясно, мой...
1155 просмотров
schedule
16.03.2023
Невозможно запустить расширение Chrome, так как оно нарушает следующую директиву политики безопасности контента: frame-src
я получаю ошибку
Отказано во фрейме ' https://api.linkedin.com/uas/js/xdrpc.html?v=0.0.2000-RC8.42627-1422#xdm_e=https%3A%2F%2Fmail.google.com&xdm_c=default5058&xdm_p=1#mode=cors ', поскольку он нарушает следующую директиву политики безопасности...
907 просмотров
schedule
23.04.2023
Предотвратить XSS-атаку по ссылке с автоматическим щелчком с помощью CSP
При использовании CSP для немного другой цели (песочница) я понял, что очень простая ссылка с автоматическим щелчком, кажется, обходит даже относительно строгий CSP. Я описываю следующее:
Политика безопасности контента:
default-src 'none';...
1091 просмотров
schedule
12.07.2022
Как использовать frame-src и child-src в Firefox и других браузерах?
На странице MDN директив политики безопасности контента указано, что frame-src устарел и child-src следует использовать. Однако Firefox 37 выдает следующее сообщение об ошибке, когда я пытаюсь использовать child-src
Content Security Policy:...
15387 просмотров
schedule
20.02.2023
Evernote Web Clipper и политика безопасности контента
В настоящее время мы вводим Политику безопасности контента для веб-сайта. Начал со вставки заголовка Content-Security-Policy-Report-Only , чтобы получить обратную связь о влиянии. Вскоре мы обнаружили, что подключаемый модуль Evernote Web Clipper в...
311 просмотров
schedule
30.07.2022