我正在使用Chrome的最新测试版(声称支持CSP),我有一个网页,用户可以在其中输入注释,然后将注释存储到数据库中,然后检索并显示在同一网页上。
用户可以输入Javascript作为注释(带有脚本标记),当从DB检索到它时,它会被执行(比如警告)。 CSP表示不会允许这样的事情。
我应该怎样做才能使谷歌Chrome测试版的这项功能(禁止执行不安全的javascripts)。
目前如果我输入javascript评论,它会按预期执行。
答案 0 :(得分:0)
为了减轻大量的potental跨站点脚本 问题,Chrome的扩展系统已纳入了一般概念 内容安全策略(CSP)。这介绍了一些相当严格的 默认情况下,将扩展程序更安全的政策,以及 为您提供创建和实施规则管理的能力 您可以加载和执行的内容类型 扩展程序和应用程序。
强调添加扩展,因为它是回答您的问题的内容 - 它仅适用于扩展,而不适用于常规网页。有many web pages out there with a valid reason for accepting Javascript postbacks。
答案 1 :(得分:0)
简单的解决方案
使用chrome dev版本28。 内联Javascript默认禁用
转到chrome:// flags /更改这些标志