Подтвердить что ты не робот

Отказался от применения встроенного стиля, поскольку он нарушает следующую директиву политики безопасности контента

Итак, примерно через 1 час мои расширения сильно сработали.

Я делал свое продление, и он делал то, что я притворялся. Я внесла некоторые изменения, и, как мне не понравилось, я удалил их, и теперь мое расширение вызывает ошибку:

Отказывается применять встроенный стиль, поскольку он нарушает следующие Директива политики безопасности содержимого: "default-src" self ". Обратите внимание, что 'style-src' явно не задан, поэтому 'default-src' используется как запасной вариант.

Что вызывает эту ошибку?

Я внес изменения в:

popup.html

<!DOCTYPE html>
<html ng-app="PinIt" ng-csp>
    <head>
        <link rel="stylesheet" href="css/popup.css">
        <script src="js/lib/jquery-1.8.2.min.js"></script>
        <script src="js/lib/angular.min.js"></script>
        <script src="js/app/app.js"></script>
        <script src="js/app/popup.js"></script> 
    </head>
    <body id="popup">
        <header>
            <h1>PinIt</h1>
        </header>
    <div ng-controller="PageController">
            <div>{{message}}</div>
            <h2>Page:</h2>
            <div id="elem">{{title}}</div>
            <div>{{url}}</div>
            <h2>Imagens:</h2>
            <ul>
                <li ng-repeat="pageInfo in pageInfos" style="list-style: none">
                    <div class="imgplusshare">
                    <img src={{pageInfo}} class="imagemPopup"/>
                    <ul class="imas">
                      <li id="liFacebook" ng-click="fbshare(pageInfo)">
                      <span>
                      <img src="facebook_16.png"/>Facebook
                      </span>
                    </li>
                    <li id="liTwitter" ng-click="twshare(pageInfo)">
                    <span>
                    <img src="twitter-bird-16x16.png"/>Twitter
                    </span>
                    </li>
                    <li id="liGooglePlus" ng-click="gpshare(pageInfo)">
                    <span><img src="gplus-16.png"/>Google+</span>
                    </li>
                    <li id="liEmail" ng-click="mailshare(pageInfo)">
                    <span><img src="mail_icon_16.png"/>Email</span>
                    </li>
                    <hr>
                    </ul>

                    </div>
                    </li>

                    </ul>
</div>
    </body>
</html>

popup.js

  myApp.service('pageInfoService', function() {
        this.getInfo = function(callback) {
            var model = {};

            chrome.tabs.query({'active': true},
            function (tabs) {
                if (tabs.length > 0)
                {
                    model.title = tabs[0].title;
                    model.url = tabs[0].url;

                    chrome.tabs.sendMessage(tabs[0].id, { 'action': 'PageInfo' }, function (response) {

                        model.pageInfos = response;

                        callback(model);
                    });

                }

            });
        };
    });
    myApp.controller("PageController", function ($scope, pageInfoService) {

        pageInfoService.getInfo(function (info) {           
            $scope.title = info.title;
            $scope.url = info.url;
            $scope.pageInfos = info.pageInfos;
            $scope.fbshare =  function($src) {
             chrome.windows.create({url:"http://www.facebook.com/sharer/sharer.php?u="+$src});
      };    
            $scope.twshare =  function($src) {
             chrome.windows.create({url:"https://twitter.com/intent/tweet?url="+$src});
      };
            $scope.gpshare =  function($src) {
             chrome.windows.create({url:"https://plus.google.com/share?url="+$src});
      };
            $scope.mailshare =  function($src) {
             chrome.windows.create({url:"mailto:?subject=Imagem Partilhada por PinIt&body=<img src=\""+$src+"\"\\\>"});
      };



            $scope.$apply();


        });
    });

Вот мой файл манифеста:

{
    "name": "PinIt",
    "version": "1.0",
    "manifest_version": 2,

    "description": "Pin It",
    "icons": {
        "128": "icon128.png"
    },
    "browser_action": {
        "default_icon": "img/defaultIcon19x19.png",
        "default_popup": "popup.html",
        "default_title": "PinIt"
    },
    "content_scripts": [ {
    "js": [ "js/lib/jquery-1.8.2.min.js", "js/app/content.js", "js/jquery-ui-1.10.3.custom.js" ],
    "matches": [ "*://*/*" ],
    "run_at": "document_start"
    } ],
    "minimum_chrome_version": "18",
    "permissions": [ "http://*/*", "https://*/*", "unlimitedStorage", "contextMenus", "cookies", "tabs", "notifications" ],
    "content_security_policy": "default-src 'self'"
}

любой sugestion?

4b9b3361

ОТВЕТЫ

Ответ 1

Вы также можете расслабить свой CSP для стилей, добавив style-src 'self' 'unsafe-inline';

"content_security_policy": "default-src 'self' style-src 'self' 'unsafe-inline';"

Это позволит вам продолжать использовать встроенный стиль в вашем расширении.

Важная заметка

Как уже отмечали другие, это не рекомендуется, и вы должны поместить весь свой CSS в отдельный файл. См. Объяснение OWASP о том, почему CSS может быть вектором для атак (благодарность @KayakinKoder за ссылку).

Ответ 2

Как говорится в сообщении об ошибке, у вас есть встроенный стиль, который CSP запрещает. Я вижу по крайней мере один (list-style: none) в вашем HTML. Поместите этот стиль в свой CSS файл.

Чтобы объяснить далее, Политика безопасности контента не допускает встроенный CSS, потому что это может быть опасно. От введения к политике безопасности контента:

"Если злоумышленник может внедрить тег сценария, который непосредственно содержит некоторую вредоносную полезную нагрузку... браузер не имеет механизма, с помощью которого он может отличить его от допустимого встроенного тега сценария. CSP решает эту проблему, полностью запрещая встроенный сценарий: это единственный способ быть конечно."

Ответ 3

Другим методом является использование CSSOM (объектная модель CSS) с помощью свойства style в DOM node.

var myElem = document.querySelector('.my-selector');
myElem.style.color = 'blue';

Подробнее о CSSOM: https://developer.mozilla.org/en-US/docs/Web/API/HTMLElement.style

Как упоминалось другими, включение unsafe-line для css - это еще один способ решения этой проблемы.

Ответ 4

По http://content-security-policy.com/ Лучшее место для запуска:

default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self' font-src 'self';

Никогда не встроенные стили или сценарии, поскольку это подрывает цель CSP. Вы можете использовать таблицу стилей для установки свойства стиля, а затем использовать функцию в файле .js для изменения свойства стиля (если необходимо).

Ответ 5

Вы можете использовать в Content-security-policy добавить "img-src" self 'data:; " И использовать схему CSS. Не используйте Inline CSS.It защищен от злоумышленников.