内容安全策略:资源被阻塞,但CSP被配置为允许使用
内容安全策略:资源被阻塞,但CSP被配置为允许使用
提问于 2021-06-07 19:28:57
我有一个GreaseMonkey用户脚本,它向页面中注入一些HTML代码,其中包含一些指向外部脚本的JavaScript,这需要Google才能工作。为了“绕过”内容安全策略,我在前面注入了这段代码:
<meta http-equiv="Content-Security-Policy" content="default-src * 'unsafe-inline' 'unsafe-eval';
script-src www.google-analytics.com * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline';
img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline'; ">但是它在控制台中删除了以下错误:
Content Security Policy: The page’s settings blocked the loading of a resource at
https://www.google-analytics.com/analytics.js (“script-src”).我允许CSP里的每件事,但还是不起作用。(如果需要,这是我的userscript代码)
$("head").append("<meta http-equiv=\"Content-Security-Policy\" content=\"default-src * 'unsafe-inline' 'unsafe-eval'; script-src www.google-analytics.com * 'unsafe-inline' 'unsafe-eval'; connect-src * 'unsafe-inline'; img-src * data: blob: 'unsafe-inline'; frame-src *; style-src * 'unsafe-inline'; \">");
$("body").append ( `
<div id="AHHAHAHAHAH">
<script src="https://examp.le/thisScriptUsesGoogleAnalytics.js">
</script>
<script type="text/javascript">
</script> </div>
` );回答 1
Stack Overflow用户
回答已采纳
发布于 2021-06-07 20:48:21
还不清楚你想要实现什么。在DOM中更改<meta http-equiv="Content-Security-Policy" content="...">标记脚本没有任何意义。只是不要把它放在第一位,或设置它根据你的需要。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67877646
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号