如何允许不安全评估和远程脚本 - CSP内容安全策略

时间:2013-02-19 13:33:19

标签: google-chrome web-applications google-chrome-extension content-security-policy

“GOOGLE EXTENSION WEB APP”

让我疯狂。

我无法设法使用unsafe-eval和远程脚本。

我可能有不安全的eval,但删除脚本不起作用。反之亦然。

失败的原因:

评估和远程

"content_security_policy": "script-src https://connect.facebook.net 'unsafe-eval'; object-src 'self' "

什么有效:

仅限远程

"content_security_policy": "script-src 'self' https://connect.facebook.net; object-src 'self' "

仅Eval

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self' "

如何兼得?

1 个答案:

答案 0 :(得分:5)

只需合并指令值:

script-src 'self' 'unsafe-eval' https://connect.facebook.net; object-src 'self'