鈷無法打開網址沒有內容安全策略設置

Question

我發現鈷只能打開Youtube頁面，並且可以打開NOT打開網址而不是Content-Security-Policy在響應數據或HTML頁面設置（eg <meta http-equiv="Content-Security-Policy" content="object-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'">），那麼在那裏任何支持該URL的CSP配置，如果沒有Content-Security-Policy設置，也可以打開？

內容安全政策規範： https://www.w3.org/TR/CSP2/

Answer 1

這是故意的安全功能，因爲鈷是針對運行的應用程序，而不是一般的網頁瀏覽。它可以通過命令行開關--csp_mode=disable禁用，但在黃金版本中禁用。

CSP本身僅適用於與策略關聯的頁面。一旦您導航到另一個頁面，只要當前頁面的策略允許導航，策略就會被拋出並替換爲下一頁的策略。但是沒有辦法使用CSP來禁用CSP要求實施。