content-security-policy允许ginger扩展加载内容

时间:2013-11-06 09:27:20

标签: php content-security-policy

当我在chrome上安装这个姜扩展时: https://chrome.google.com/webstore/detail/spell-and-grammar-checker/kdfieneakcjfaiglcfcgkidlkmlijjnh?utm_source=chrome-ntp-icon

我查看我的页面: http://start.funmoods.com/results.php?q=hotel.com&a=undefined&category=web&start=1&fc=br

正如您在“姜”扩展程序打开时可以看到的那样,页面会降低。

你知道为什么我的csp允许生姜加载它的HTML吗?

这是我的csp标题:

您可以在Chrome开发者框中自行查看

缓存控制:无缓存,必须重新验证 连接:保持活跃 内容编码:gzip Content-Security-Policy:default-src ; script-src'self'http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d.yimg.com https://completr.appspot.com; frame-src'self'http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net; font-src'none'; connect-src'self'; media-src'self'; object-src'un'; style-src'self'; 内容类型:text / html的 日期:2013年11月6日星期三09:22:47 GMT 到期日:星期六,1997年7月26日05:00:00 GMT 服务器:nginx 设置Cookie:FM = YT11bmRlZmluZWQmdXJlZj0mY2Q9JmNyPSY%3D;到期=星期五,06-Dec-2013 09:22:47 GMT 设置Cookie:RS = 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%3D%3D;到期=星期二,2015年10月27日09:22:47 GMT 传输编码:分块 X-Content-Security-Policy:default-src ; script-src'self'http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d.yimg.com https://completr.appspot.com; frame-src'self'http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net; font-src'none'; connect-src'self'; media-src'self'; object-src'un'; style-src'self'; X-WebKit-CSP:default-src ; script-src'self'http://www.google-analytics.com http://suggest.infospace.com http://api.autocompleteplus.com http://www.googletagservices.com http://d.yimg.com https://completr.appspot.com; frame-src'self'http:// .yhs4.search.yahoo.com http://ad.adserver-pro.net; font-src'none'; connect-src'self'; media-src'self'; object-src'un'; style-src'self';

1 个答案:

答案 0 :(得分:0)

简而言之:因为那不是CSP所做的。

  

根据CSP处理模型,CSP不应干扰用户安装的浏览器加载项或扩展的操作。 CSP的此功能有效地允许任何加载项或扩展将脚本注入到网站中,无论该脚本的来源如何,因此可以免除CSP策略。 W3C Web应用程序安全工作组认为此类脚本是浏览器实现的可信计算库的一部分;但是,有些人认为这种豁免是潜在的安全漏洞,可能被恶意或受损的附加组件或扩展程序利用。

     

http://en.wikipedia.org/wiki/Content_Security_Policy

相关问题
最新问题