Content Security Policy directive: “script-src ‘self‘ ‘unsafe-eval‘“

最新推荐文章于 2024-10-18 10:10:49 发布
原创 最新推荐文章于 2024-10-18 10:10:49 发布 · 1.1w 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#js #javascript #chrome #chrome devtools

本文介绍如何在遇到Content Security Policy错误时,通过修改manifest.json中的content_security_policy属性,将'unsafe-eval'指向特定域名来修复谷歌插件的运行问题。关键步骤包括理解错误原因并调整配置。

Content Security Policy directive: “script-src ‘self’ ‘unsafe-eval’”

在开放谷歌插件的时候,使用了iframe嵌入网页,在修改了一系列问题后,出现了新的问题,插件报错
Refused to load the script ‘https://xxxxxxxxxxx’ because it violates the following Content Security Policy directive: “script-src ‘self’ ‘unsafe-eval’”. Note that ‘script-src-elem’ was not explicitly set, so ‘script-src’ is used as a fallback.
找了很多文档与博客,最后发现解决办法是修改manifest.json里的content_security_policy属性配置。
之前我的配置是

"content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",

将其修改为

"content_security_policy": "script-src 'self' 'unsafe-eval' https://xxxxx.com; object-src 'self'",

这里的https://xxxxx.com改为报错信息中的地址域名就行。
然后再执行下插件就会发现,他不报错了。

albb58
关注
vue3:百度地图报错because it violates the following Content Security Policy directive:script-src * ‘unsaf
高级前端工程师
10-22 4335
because it violates the following Content Security Policy directive: "script-src * 'unsafe-inline' 'unsafe-eval'". Note that 'worker-src' was not explicitly set, so 'script-src' is used as a fallback. Note that '*' matches only URLs with network schemes ('
Refused to load the script ‘xxxx.jsbecause it violates the following Content Security Policy ...
魏大大
03-12 6697
Refused to load the script 'https://unpkg.com/xxxx.js' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-eval' 'unsafe-inline' data:". Note that 'script-src-elem' was not explicitly set, so 'script-src' is used
Content-Security-Policy —— HTML HTTP的内容安全策略
2401_84023314的博客
04-04 1858
可以防止[[跨站点脚本攻击]]语法指令说明。
拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令
全栈攻城狮的博客
05-27 6228
Refused to execute inline event handler because it violates the following Content Security Policy directive:script-srcself’ ‘unsafe-inline’ ‘unsafe-eval’ at.alicdn.com f.alicdn.com g.alicdn.com lo...
Spring Boot项目中怎么设置内容安全策略Content Security Policy
冥胖胖9的博客
10-18 4814
CSP是一种Web安全策略,通过告诉浏览器只允许特定来源的内容加载,可以有效减少XSS和其它代码注入的风险。通过HTTP头或HTML<meta>标签定义允许的资源来源;限制页面加载外部资源的权限,如脚本、样式表、图像等。跨站脚本攻击(XSS):阻止恶意脚本在页面中执行;数据注入:通过限制资源加载,减少不信任来源的数据注入可能性。nonce(Number Once)是一个临时的、唯一的字符串,它被添加到每个内联样式或脚本标签中,作为该标签的“授权令牌”。
WEB应用内容安全策略(Content Security Policy)
A_991128a的博客
01-15 4870
它通过让开发者对自己WEB应用声明一个外部资源加载的白名单,使得客户端在运行WEB应用时对外部资源的加载做出筛选和识别,只加载被允许的网站资源.对于不被允许的网站资源不予加载和执行.同时,还可以将WEB应用中出现的不被允许的资源链接和详情报告给我们指定的网址.如此,大大增强了WEB应用的安全性.使得攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的服务器.使用这种模式,将会直接阻止非法的外部资源加载,同时也可以选择是否配置将非法资源加载的链接和行为报告给我们指定的网址。
WebAssembly.instantiateStreaming():following Content Security Policy directive: "script-src 'self' 'u
08-05
Content-Security-Policy: script-src 'self' 'unsafe-eval' *.example.com; object-src 'self' ``` 其中,`'unsafe-eval'` 允许使用 `eval()` 和 WebAssembly 的即时编译,但需谨慎使用,因为它可能带来安全风险。...
web引用百度地图api because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline'"
01-03
### 修改Web应用的Content Security Policy以兼容百度地图API 为了使网页能够顺利加载并使用百度地图API而不违反Content Security Policy (CSP),需要调整`<meta>`标签内的CSP设置,确保其允许来自百度的地图脚本...
Refused to create a worker from 'blob:http://localhost:8080/1feb0273-ed66-4918-9b8b-ee9b5f3965be' because it violates the following Content Security Policy directive: "script-src 'unsafe-inline' 'self' 'unsafe-eval' https:". Note that 'worker-src' was not explicitly set, so 'script-src' is used as a fallback.
最新发布
08-21
错误信息通常为:Refused to create a worker from 'blob:...' because it violates the following Content Security Policy directive: "script-src ...". Note that 'worker-src' was not explicitly set, so '...
Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "default-src 'self'".
04-30
好的,我现在需要解决用户提出的关于Content Security Policy(CSP)导致的unsafe-eval错误的问题。用户提到在使用default-src 'self'时出现了这个错误,想知道如何解决。 首先,我得回忆一下CSP的基本知识。CSP...
【网络安全】Content Security Policy (CSP) 介绍
qq_43842093的博客
06-03 2975
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
内容安全策略
IT新技术
05-03 2390
更多HTML 5文章请查阅HTML 6在线网站http://www.html5online.com.cn 本文概述         在传统Web应用程序中,数据的安全性是通过同源策略来实现的。站点A中的代码只能访问站点A中的数据。每一个站点均处于孤立状态,从而保证每一个站点中数据的安全性。从理论上来说,这种做法是无懈可击的,但事实上,许多网络攻击者都已经聪明地发现了如何突破这种限制的方法。
web页面报script-srcself‘ blob:unsafe-eval‘“. Either theunsafe-inline‘ keyword
Again
09-27 763
由于nginx 加入了 csp 安全策略 导致部分js 不被允许执行,则需要 启用内联执行需要“unsafe inline”关键字。
Web 安全之内容安全策略(Content-Security-Policy,CSP)详解
anbangsi3839的博客
09-06 1076
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(<script>块内容,内联事件,内联样式),以及禁止执行eval() , newFunc...
“default-srcself‘“‘script-src‘因为它违反了以下内容安全策略指令:“default srcself‘”。
热门推荐
Caiabcd的博客
05-04 1万+
错误信息 Refused to execute inline script because it violates the following Content Security Policy directive: "default-src 'self'". Either the 'unsafe-inline' keyword, a hash ('sha256- kPY6ovEPaw5y+RgWpejDaoJa2JT9tURMxvKvnhgv1XM='), or a nonce ('nonce-...')
接口请求出现because it violates the followingContent Security Policy directive: “default-srcself‘“. Note
dujunuan的博客
03-28 8752
因为在Content Securty Policy中,没有配置对应的部分,那么会默认使用default-src指令,而defauit-src指令中没有设置我们发送请求un设置,因此拒绝访问。只要是配置了connect-src指令,则不会使用默认指令default-src
Content Security Policy 入门教程
weixin_33805557的博客
09-30 327
Content Security Policy 入门教程 跨域脚本攻击XSS是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值