腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(1769)
视频
沙龙
1
回答
为什么
阻止
bookmarklet
脚本
?
网页
CSP
看起来
没问题
、
、
当用户单击
bookmarklet
时,它会插入一小段代码。这段代码插入一个script元素,该元素反过来获得执行此工作的实际
脚本
。 这在大多数网站上都有效,但一些网站通过其内容安全策略
阻止
脚本
。例如,他们可能有 content-security-policy: script-src 'self' 然而,有一些网站的
脚本
被
阻止
了,但我看不出是什么策略
阻止
了它。) 但是,我看不到这个页面的
csp
策略,就像我对其他
阻止
<e
浏览 70
提问于2021-03-01
得票数 2
回答已采纳
2
回答
在现代浏览器中,JavaScript书签是否存在安全限制?
、
、
、
、
例如,恶意书签可以收集您的“cookie”、"localStorage“、密码输入框中的字符串,然后将其发送到远程服务器,这类似于”
脚本
注入“。 我对此很好奇。
浏览 8
提问于2015-11-13
得票数 4
回答已采纳
1
回答
扩展和书签的内容安全策略
、
、
、
、
Github有以下
CSP
策略能
阻止
书签应用程序或像裁剪器这样的浏览器扩展应用程序加载吗?views/clipping/clippinglocal.js', function() { s.c
浏览 2
提问于2014-08-27
得票数 21
回答已采纳
4
回答
内容安全策略是否会
阻止
bookmarklet
?
、
、
、
、
默认情况下,Mozillas 会
阻止
执行吗? 是否可以将其配置为这样做?
浏览 0
提问于2011-09-30
得票数 20
回答已采纳
1
回答
内容安全策略实际上如何防止攻击?
、
、
据我所知,内容安全策略标头(或页面标头中的meta标签)指定了允许在
网页
中加载哪些元素。这意味着,如果攻击者能够修改页面内容,并添加对有害的javascript
脚本
的调用,该
脚本
将不会被加载,因为它来自
CSP
未明确允许的域。 这是正确的吗?如果是,是什么
阻止
攻击者修改
CSP
报头本身,从而启用对其
脚本
的调用?
浏览 9
提问于2019-05-08
得票数 3
回答已采纳
1
回答
无法使用
bookmarklet
运行外部javascript
、
我需要使用一个外部
脚本
来修改当前页面中的一些元素,将其作为
bookmarklet
访问。如果我修改
网页
的html源代码,插入以下< script >行:s.type='text/javascript';[object HTMLScriptElement] 然而,如
浏览 0
提问于2010-02-08
得票数 5
回答已采纳
1
回答
内容安全策略导致Liferay 7项目出错
、
gstatic.com;connect-src ; img-src 'self' data:;base-uri 'none';frame-ancestors 'none';"); 拒绝加载
脚本
浏览 0
提问于2018-09-06
得票数 1
回答已采纳
1
回答
Firefox内容
脚本
在某些页面中没有加载
、
然而,当使用Firefox时,内容
脚本
似乎不会加载到某些页面中,例如原始的GitHub页面,例如: 为了使扩展在所有浏览器上一致工作,需要进行哪些更改?
浏览 3
提问于2017-12-03
得票数 6
回答已采纳
1
回答
content_security_policy在Chrome扩展中不生效
、
content_security_policy": "script-src 'self' https://ssl.google-analytics.com https://*.zemanta.com; object-src 'self'"
为什么
上面的错误消息中的
CSP
指令中没有列出"https://*.zemanta.com",我如何确保它在
CSP
中?
浏览 2
提问于2016-03-13
得票数 0
1
回答
通过Chrome扩展禁用
网页
的内容安全策略
、
、
、
我正在创建一个Chrome扩展,它修改由服务器提供的
脚本
(我无法控制)以向网站添加新功能,我有以下想法:当我尝试在第五步中对字符串进行评估时,它会说:...'nonce-DFX4zDtBDF32343LjE2DFKMs' 'self' https://website
浏览 2
提问于2020-05-10
得票数 2
1
回答
脚本
-src-attr的示例,该示例尚未由script-src-elem处理。
、
CSP
脚本
-src指令允许加载
脚本
,但是
脚本
-src-attr指令
阻止
脚本
中的函数执行的示例是什么?如果不希望执行js处理程序,那么
为什么
不首先
阻止
js被加载呢?如果
脚本
src-attr在功能级别上运行,我可以理解它的有用性,但事实并非如此,对吗?
浏览 0
提问于2021-04-01
得票数 2
4
回答
应用于单页应用程序的内容安全策略:不安全内联是否值得?
、
、
当我测试我需要的标题值时,我意识到我必须允许‘不安全-内联’
脚本
,因为这是我的网站的根本内容。 我读了不少这篇文章,发现大量评论表明,如果我需要应用“不安全的内联”,
CSP
头真的不会对我有多大帮助。因此,我的问题是:应用“不安全内联”会或多或少地使
CSP
变得毫无意义吗?有人对如何在SPA上处理
CSP
有什么好的想法吗?
浏览 0
提问于2020-05-28
得票数 3
1
回答
内容安全策略停止内联
脚本
的执行,尽管采用了只报表模式。
、
我有一个
CSP
与‘内容-安全-策略-报告-唯一’模式和报告-uri。我有一个内联JavaScript运行,
CSP
禁止。它确实在Report链接中有记录,但它也
阻止
页面在Chrome控制台上加载以下错误:“报告只因为违反了以下内容安全策略指令而拒绝执行内联
脚本
:" script -src‘self’.”。
为什么
CSP
要以“只报告”的模式执行?谢谢
浏览 2
提问于2020-07-10
得票数 1
回答已采纳
1
回答
Firefox扩展使用POST打开页面
、
、
在Firefox扩展中,我需要在新的标签页中打开一个特定的
网页
,我需要向它发送帖子数据。我有完全控制目标
网页
(我的服务器)。我没有在
网页
上使用生成的表单,而是尝试了XmlHttpRequest。我可以成功地发送post请求并获得答案,但我只能获得纯文本形式的响应,不能在当前窗口中打开它(我只能获得静态内容,而不能在将其插入页面正文时使用
脚本
)document.open(); document.write(xhr.r
浏览 1
提问于2018-04-21
得票数 0
1
回答
为什么
在Chrome扩展中,获取的文本被解析到
网页
中,然后加载其中的
脚本
?
虽然这个URL的内容是一个
网页
,但我此时将它作为文本读取,Chrome实际上是在文本内容中主动下载
脚本
,这会触发
CSP
。 let text =
浏览 5
提问于2022-11-07
得票数 0
2
回答
当没有指定
CSP
时,内容安全策略错误的原因可能是什么?
、
、
、
、
我读了一些关于
CSP
的文章,在上我找到了以下声明: 然而,我没有提供任何特定的
CSP
指令。
浏览 3
提问于2022-05-31
得票数 1
回答已采纳
2
回答
禁用html标记中的js。
、
、
我有一个网站,用户可以设置一个描述使用html。我希望他们能够用html做任何事情,除了使用js。是否需要禁用标记中的所有javascript?记住,我指的是所有的javascript,包括onclick之类的东西。如果没有,我是否可以使用某种正则表达式过滤掉所有的xss攻击?
浏览 5
提问于2017-10-04
得票数 3
回答已采纳
2
回答
我该如何扩展书签栏呢?
、
我想通过一个扩展添加一个"widget“到chrome的书签栏中。该小部件将固定在书签栏的右侧,并具有几个触发不同操作的按钮。
浏览 1
提问于2012-05-06
得票数 0
回答已采纳
1
回答
HTTP内容-安全性-策略是每个页面还是每个GET?
、
、
、
在加载
网页
时,该页的内容安全策略(
CSP
) (以及该页加载的任何资源)是否由遇到的第一个
CSP
头定义,还是可以由该页加载的后续资源进行修改?示例Content-Security-Policy: script-src https://safe.javascript.com 然后,在其HTML中请求来自safe.javascript.com关于
脚本
源,main.html
网页
的
CSP
现在设置
浏览 3
提问于2020-07-18
得票数 2
回答已采纳
2
回答
如何通过允许一切通过
CSP
(内容安全策略)?
、
、
、
这个网站在本地机器上运行得很好,但是当我上传它来上网时,它会掉到附近。尝试实现这个帖子中的所有答案,但仍然一无所获。<!DOCTYPE html> <head> <meta name="viewport" content="width=device-width, initial-scal
浏览 0
提问于2021-02-05
得票数 0
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
通过CSS追踪用户
防止Web攻击,做好HTTP安全标头
如何保护您的网站免受cryptojacking攻击
Django 开发中你不可不知的 7个Web 安全头
你的浏览器安全吗?德国联邦信息安全局:也就Firefox靠谱
热门
标签
更多标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
活动推荐
运营活动
广告
关闭
领券