A refusé de se connecter à l'adresse [url] parce qu'il viole le Contenu suivant la Politique de Sécurité de la directive
Je suis l'auteur d'une extension Chrome qui permet de traduire les mises à jour de statut et les commentaires sur Facebook: https://chrome.google.com/webstore/detail/facebook-translate/plofenifjagmdikfcobngnfmmnfmphin
Depuis quelques jours, mes utilisateurs et me donne une erreur dans la console d'erreur qui dit:
A refusé de se connecter à " https://api.microsofttranslator.com/V2/Http.svc/Translate?appId=&text=Chrome-Integration%3A+Google+bringt+Google+Now+auf+Desktop-PCs&to=en&contentType=text%2Fhtml " parce qu'il viole le Contenu suivant la Politique de Sécurité de la directive: "connectez-src https://.facebook.com http://.facebook.com https://.fbcdn.net http://.fbcdn.net *.facebook.net .spotilocal.com: https://.akamaihd.net ws://.facebook.com:* http://*.akamaihd.net".
Dans mon extension chrome je n'ai mis le contenu de la politique de sécurité comme suit:
"content_security_policy": "script src 'auto' https://ssl.google-analytics.com; objet-src" soi"
Les Uri dans la console d'erreur, cependant, sont FB Uri seulement voilà pourquoi je pense à Facebook de ne mettre à jour leur site pour restreindre l'accès à distance à des URIs. Je ne suis pas certain si elle pouvait être un Chrome problème, donc désolé si j'ai lancé le sujet sur le mauvais stackoverflow réseau. 🙂
Quelqu'un peut confirmer (et peut-être m'indiquer une solution possible pour) cette question? Merci à tous!
OriginalL'auteur Alphawolf | 2012-12-09
Vous devez vous connecter pour publier un commentaire.
Extensions devrait contourner le Contenu d'une page Politique de Sécurité lors de l'exécution de XMLHTTPRequest à partir d'un contenu de script. Actuellement, ils ne le sont pas, ce qui est un bug. J'ai déposé https://bugs.webkit.org/show_bug.cgi?id=104480 de prendre un coup d'oeil à la fixation.
Êtes-vous de l'exécution XHR à partir de votre poste de contenu du script, ou êtes-vous de l'exécuter en arrière-plan de la page? Ce dernier devrait fonctionner maintenant.
Le bug dit que c'est fixe, mais je la vois toujours. Quelqu'un d'autre encore le voir aussi?
C'est corrigé, mais pas encore stable canal. Si vous êtes témoins de ce comportement dans les Canaries, j'aimerais bien un rapport de bogue. 🙂
OriginalL'auteur Mike West
Le message d'erreur indique que votre tentent de se connecter à " https://api.
microsofttranslator
.com/domaine qui n'est pas spécifié dans connectez-src de CSP DirectiveIl semble que vous avez énumérés,
les domaines ci-dessus pour connectez-src politique, ajouter le nouveau nom de domaine
microsofttranslator
.com si elle est valide.Laissez-moi savoir si vous avez besoin de plus d'informations.
Sur la même note, c'est ce que FB.com retourne dans leurs en-têtes: > X-WebKit-CSP:par défaut-src ;script src https://.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net .facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1: .spotilocal.com: chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl "dangereux-inline' "dangereux-eval' https://*.akamaihd.net http://*.akamaihd.net;style src * "dangereux-inline';connectez-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net .facebook.net *.spotilocal.com: https://*.;
je pense que avec les en-têtes, il est clair que la connexion n'est possible que pour
https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net .facebook.net *.spotilocal.com:
etc domaines, afin d'avoirhttps://api.microsofttranslator.com/
pas dans le retour de l'en-tête de liste, il attrapé une erreur. Êtes-vous à l'aide de'https://api.microsofttranslator.com/
pour la traduction?Yep, je suis en utilisant l'API à distance est api.microsofttranslator.com pour attraper la chaîne traduite via AJAX. Jusqu'à il y a quelques jours ça marchait très bien, donc je suppose que Facebook a ajouté ces CSP directives que dernièrement. Est-il possible que je peux communiquer avec FB pour inclure le api.microsofttranslator.com URI? Sinon mon extension est rompu pour de bon, puisqu'il repose sur la Traduction de l'API pour mon poste de travail. La poisse.
Ensuite, placez le code dans
background page
et transmettre les contenus par le biais de messages de communication pour envoyer le contenu de(content -> background)
pour la traduction et la(background -> content)
après la conversion, vous pouvez consulter THIS comme référence, c'est la façon d'obtenir ce contenu script CSP apprivoisé,laissez-moi savoir si vous avez besoin de plus d'informations.OriginalL'auteur Sudarshan