我正在使用chrome的最新測試版(它聲稱支持CSP),並且我有一個網頁,用戶可以在其中輸入註釋並將註釋存儲到一個數據庫,然後檢索並顯示在同一個網頁上。如何禁用在支持CSP的chrome beta中執行的不安全腳本
用戶可以輸入一個Javascript作爲註釋(帶有腳本標籤),並且當它從數據庫中獲取時,它會被執行(比如一個警報)。 CSP表示這樣的事情將不被允許。
我應該怎麼做才能讓google chrome beta工作的這個功能(禁用不安全的javascripts執行)。
當前如果我輸入javascript評論,它會按預期執行。
簡單的解決方案
使用Chrome瀏覽器開發版28 內嵌的JavaScript默認情況下禁用
轉到chrome://標誌/更改這些標誌
爲了緩解一大類potental跨站點腳本 問題,Chrome的擴展系統已經將內容安全策略(CSP)的一般概念 。這會產生一些相當嚴格 政策,這將使默認擴展更安全, 爲您提供了創建和執行關於 可由您 擴展和應用程序加載和執行的內容類型規則的能力。在擴展
着重強調,因爲它就是回答您的問題 - 它僅適用於擴展,而不是常規的網頁。有many web pages out there with a valid reason for accepting Javascript postbacks。
chrome:// flags /讓你設置一些這樣的東西,所以這可以被禁止 – JATMON 2013-05-12 21:29:38
你是指爲http:// developer.chrome.com/extensions/contentSecurityPolicy.html,旨在防止跨站點腳本。這與網頁輸出中混雜的腳本無關,因爲您無法逃避它。 – mario 2013-05-12 20:07:15
我不這麼認爲,它清楚地表明內聯Javascript將不被允許 – JATMON 2013-05-12 20:18:36
更好的參考:http://www.html5rocks.com/en/tutorials/security/content-security-policy/ – duskwuff 2013-05-13 01:42:24