Resultados da pesquisa a pedido "content-security-policy"
O jQuery simples dentro da tag <script> no pop-up da extensão do Chrome não está sendo executado
Este é o meu HTML: <!doctype html> <html> <head> <title>PassVault</title> <link rel="stylesheet" type="text/css" href="stil.css"> <meta charset="utf-8"> ...
Qual iframe filho do CSP herda de seu pai?
Eu tenho uma página da web (digamos origem = A) que possui um iframe incorporado, carregado de um domínio diferente (digamos B). B carrega scripts em lotes de diferentes domínios (várias CDNs). Minha página A define um CSP bastante rigoroso, ...
Qual é o objetivo do atributo HTML "nonce" para elementos de script e estilo?
O W3C diz que há um novo atributo no HTML5.1 chamadononce parastyle escript que pode ser usado pela Política de segurança de conteúdo de um site. Pesquisei no Google, mas finalmente não entendi o que esse atributo realmente faz e o que muda ao ...
Política de segurança de conteúdo, incluindo um script
Preciso incluir esse scripthttps://apis.google.com/js/api:client.js [https://apis.google.com/js/api:client.js]no meu site. No Google Chrome, funciona bem, mas emRaposa de fogo(e IE obviamente) Eu recebo alguns erros: Política de segurança de ...
Gere um nonce com o Apache 2.4 (para um cabeçalho da Política de Segurança de Conteúdo)
Estamos trabalhando para criar uma rígida Política de Segurança de Conteúdo ( https://csp.withgoogle.com/docs/strict-csp.html [https://csp.withgoogle.com/docs/strict-csp.html]), que exige que o Apache crie um nonce cada vez que um recurso for ...
Política de segurança de conteúdo - Posso bloquear explicitamente um domínio para não receber um erro de um recurso conhecido
Eu recentemente implementei uma política de segurança de conteúdo. No momento, estou carregando o FontAwesome via CDN e eles estão tentando injetar e carregar este arquivo que não quero permitir. Refused to load the script ...
Um * .example.com para um cabeçalho de política de segurança de conteúdo também corresponde a example.com?
Digamos que eu tenho esse cabeçalho definidomywebsite.com: Content-Security-Policy: script-src self https://*.example.comEu sei que vai permitirhttps://foo.example.com ehttps://bar.example.com, mas permitiráhttps://example.com sozinho? Olhando ...
Maneira segura de inserir valores dinâmicos em arquivos JavaScript externos
Estou implementandoPolítica de Segurança de Conteúdo [http://www.html5rocks.com/en/tutorials/security/content-security-policy/] cabeçalhos usando a seguinte política Content-Security-Policy: default-src 'self' portanto, será necessário evitar o ...
CSP de estilo embutido proibido e posicionamento dinâmico de elementos HTML
Um cliente alterou seu CSP para banir estilos embutidos no servidor. Tanto quanto sei, isso significa que não podemos mais usar JS para posicionar / animar / estilizar elementos HTML dinamicamente, por exemplo. não podemos detectar a posição de ...
Extensão do Chrome "Recusou-se a avaliar uma string como JavaScript porque 'inseguro-avaliação'
Eu tenho um erro: Recusou-se a executar o script embutido porque viola a seguinte diretiva de Política de Segurança de Conteúdo:"script-src 'self' chrome-extension-resource:". Ou o'unsafe-inline' palavra-chave, um hash ('sha256-...') ou um nonce ...