我正在使用chrome的最新測試版(它聲稱支持CSP),並且我有一個網頁,用戶可以在其中輸入註釋並將註釋存儲到一個數據庫,然後檢索並顯示在同一個網頁上。如何禁用在支持CSP的chrome beta中執行的不安全腳本
用戶可以輸入一個Javascript作爲註釋(帶有腳本標籤),並且當它從數據庫中獲取時,它會被執行(比如一個警報)。 CSP表示這樣的事情將不被允許。
我應該怎麼做才能讓google chrome beta工作的這個功能(禁用不安全的javascripts執行)。
當前如果我輸入javascript評論,它會按預期執行。
你是指爲http:// developer.chrome.com/extensions/contentSecurityPolicy.html,旨在防止跨站點腳本。這與網頁輸出中混雜的腳本無關,因爲您無法逃避它。 – mario 2013-05-12 20:07:15
我不這麼認爲,它清楚地表明內聯Javascript將不被允許 – JATMON 2013-05-12 20:18:36
更好的參考:http://www.html5rocks.com/en/tutorials/security/content-security-policy/ – duskwuff 2013-05-13 01:42:24