A refusé de se connecter à l'adresse [url] parce qu'il viole le Contenu suivant la Politique de Sécurité de la directive

Je suis l'auteur d'une extension Chrome qui permet de traduire les mises à jour de statut et les commentaires sur Facebook: https://chrome.google.com/webstore/detail/facebook-translate/plofenifjagmdikfcobngnfmmnfmphin

Depuis quelques jours, mes utilisateurs et me donne une erreur dans la console d'erreur qui dit:

A refusé de se connecter à " https://api.microsofttranslator.com/V2/Http.svc/Translate?appId=&text=Chrome-Integration%3A+Google+bringt+Google+Now+auf+Desktop-PCs&to=en&contentType=text%2Fhtml " parce qu'il viole le Contenu suivant la Politique de Sécurité de la directive: "connectez-src https://.facebook.com http://.facebook.com https://.fbcdn.net http://.fbcdn.net *.facebook.net .spotilocal.com: https://.akamaihd.net ws://.facebook.com:* http://*.akamaihd.net".

Dans mon extension chrome je n'ai mis le contenu de la politique de sécurité comme suit:

"content_security_policy": "script src 'auto' https://ssl.google-analytics.com; objet-src" soi"

Les Uri dans la console d'erreur, cependant, sont FB Uri seulement voilà pourquoi je pense à Facebook de ne mettre à jour leur site pour restreindre l'accès à distance à des URIs. Je ne suis pas certain si elle pouvait être un Chrome problème, donc désolé si j'ai lancé le sujet sur le mauvais stackoverflow réseau. 🙂

Quelqu'un peut confirmer (et peut-être m'indiquer une solution possible pour) cette question? Merci à tous!

OriginalL'auteur Alphawolf | 2012-12-09

  1. 10

    Extensions devrait contourner le Contenu d'une page Politique de Sécurité lors de l'exécution de XMLHTTPRequest à partir d'un contenu de script. Actuellement, ils ne le sont pas, ce qui est un bug. J'ai déposé https://bugs.webkit.org/show_bug.cgi?id=104480 de prendre un coup d'oeil à la fixation.

    Êtes-vous de l'exécution XHR à partir de votre poste de contenu du script, ou êtes-vous de l'exécuter en arrière-plan de la page? Ce dernier devrait fonctionner maintenant.

    Woah, merci Mike! En effet, je suis de l'exécution de la demande XHR de mon extension de contenu du script. Maintenant que vous le dites... je suis en train de faire tous les OAuth des trucs avec l'API à distance dans un contexte de script, et l'authentification semble aller de travers, de sorte que vous êtes en droit.
    Le bug dit que c'est fixe, mais je la vois toujours. Quelqu'un d'autre encore le voir aussi?
    C'est corrigé, mais pas encore stable canal. Si vous êtes témoins de ce comportement dans les Canaries, j'aimerais bien un rapport de bogue. 🙂

    OriginalL'auteur Mike West

  2. 0

    Le message d'erreur indique que votre tentent de se connecter à " https://api.microsofttranslator.com/domaine qui n'est pas spécifié dans connectez-src de CSP Directive

    Il semble que vous avez énumérés, 

    "connect-src 
            https://.facebook.com 
            http://.facebook.com 
            https://.fbcdn.net 
            http://.fbcdn.net *.facebook.net .spotilocal.com: 
            https://.akamaihd.net ws://.facebook.com:* 
            http://*.akamaihd.net".

    les domaines ci-dessus pour connectez-src politique, ajouter le nouveau nom de domaine microsofttranslator.com si elle est valide.

    Laissez-moi savoir si vous avez besoin de plus d'informations.

    La chose est, je havn'pas dans la liste de ces Uri n'importe où dans mon Chrome extension de fichier manifeste (voir mon premier post). C'est pourquoi je pense que Facebook n'a ajouter ces contenus directives en matière de sécurité. C'est une nouvelle HTML5 technique et je pense que Facebook a ajouté à son site pour limiter les requêtes AJAX à distance Uri, et je ne pense pas que je suis en mesure de les écraser de mon extension Chrome...
    Sur la même note, c'est ce que FB.com retourne dans leurs en-têtes: > X-WebKit-CSP:par défaut-src ;script src https://.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net .facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1: .spotilocal.com: chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl "dangereux-inline' "dangereux-eval' https://*.akamaihd.net http://*.akamaihd.net;style src * "dangereux-inline';connectez-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net .facebook.net *.spotilocal.com: https://*.;
    je pense que avec les en-têtes, il est clair que la connexion n'est possible que pour https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net .facebook.net *.spotilocal.com: etc domaines, afin d'avoir https://api.microsofttranslator.com/ pas dans le retour de l'en-tête de liste, il attrapé une erreur. Êtes-vous à l'aide de 'https://api.microsofttranslator.com/ pour la traduction?
    Yep, je suis en utilisant l'API à distance est api.microsofttranslator.com pour attraper la chaîne traduite via AJAX. Jusqu'à il y a quelques jours ça marchait très bien, donc je suppose que Facebook a ajouté ces CSP directives que dernièrement. Est-il possible que je peux communiquer avec FB pour inclure le api.microsofttranslator.com URI? Sinon mon extension est rompu pour de bon, puisqu'il repose sur la Traduction de l'API pour mon poste de travail. La poisse.
    Ensuite, placez le code dans background page et transmettre les contenus par le biais de messages de communication pour envoyer le contenu de (content -> background) pour la traduction et la (background -> content) après la conversion, vous pouvez consulter THIS comme référence, c'est la façon d'obtenir ce contenu script CSP apprivoisé,laissez-moi savoir si vous avez besoin de plus d'informations.

    OriginalL'auteur Sudarshan