我发现钴只能打开Youtube页面,并且NOT可以在响应数据或html页面(Content-Security-Policy)中打开没有eg <meta http-equiv="Content-Security-Policy" content="object-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'">设置的网址,所以有没有还可以打开CSP配置以支持没有Content-Security-Policy设置的网址吗?
内容安全政策规范: https://www.w3.org/TR/CSP2/
答案 0 :(得分:1)
这是一个有意的安全功能,因为Cobalt旨在运行应用程序,而不是一般的Web浏览。可以使用命令行开关--csp_mode=disable禁用它,但在黄金版本中禁用此功能。
CSP本身仅适用于与策略关联的页面。一旦您导航到另一个页面,只要当前页面的策略允许导航,该策略将被抛出并替换为下一页的策略。但是没有办法使用CSP来禁用CSP需求实施。