本文探讨了Content Security Policy (CSP)在确保Web安全的同时,如何与Chrome扩展产生冲突,导致script标签内容被拦截和资源加载失败的问题。
csp的使用方式:
<meta http-equiv="Content-Security-Policy" content="script-src 'self' cdn.staticfile.org *.cnzz.com hm.baidu.com *.fraudmetrix.cn *.tongdun.net *.geetest.com blob: 'unsafe-inline' 'unsafe-eval'">
还可以强制本页面资源升级到https:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
csp弊端:
一. chrome-extension 直接嵌入script标签的方式 :
<script type="text/javascript" src="chrome-extension://cfjajdmplgcnfchakhmfonhbckkjefng/js/kendogrid.js"></script>
CSP会进行拦截报错,不加载js:
二. 使用谷歌插件对script标签内的js进行拦截替换
<script type="text/javascript" src="//<?= STATIC_DOMAIN ?>/j
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
