Refusé de charger le script, car elle viole le Contenu suivant la Politique de Sécurité de la directive: "script src 'auto'

Je suis en train de développer une application chrome dans laquelle je veux afficher un des flux Rss personnalisés, mais les aliments ne sont pas chargés et dispalying d'erreur comme ci-dessus.

Détails de l'erreur dans laquelle est affiché

Refused to load the script
 'https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js'
 because it violates the following Content Security Policy directive:
 "script-src 'self'
 https://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js".

     Refused to execute inline script because it violates the following Content Security Policy directive: "script-src 'self'
 https://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js". 
 jquery.min.js:35

     Refused to load the script 'https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js'
 because it violates the following Content Security Policy directive:
 "script-src 'self'
 https://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js".

     Refused to load the script 'http://ajax.googleapis.com/ajax/services/feed/load?v=1.0&num=2&output=json&q=http%3A%2F%2Fblog.tax2290.com%2Ffeed%2F&hl=en&callback=jsonp1373953012503'
 because it violates the following Content Security Policy directive:
 "script-src 'self'
 https://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js".

manifeste.json

{
      "name": "Tax New 2290",
      "manifest_version": 2,
      "version": "1.1",
      "description": "Tax 2290",
    "web_accessible_resources": ["images/logo.png"],
      "icons": {
        "16": "icon16.png",
        "19":"icon19.png",
        "48": "icon48.png",
        "128": "icon128.png",
        "256": "icon256.png"
    },
     "browser_action":
    {
    "default_icon":"images/logo.png",
    "default_popup":"index.html"
    },

         "permissions": ["tabs", "<all_urls>","http://www.tax2290.com","http://*/*", "https://*/*","http://*.google.com/"],
        "content_security_policy": "script-src 'self' https://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js; https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js; object-src 'self'"

    }

index.html

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.4.1/jquery.min.js"></script>
<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>
<script type="text/javascript" src="images/feed.js"></script>
<link  href="images/style.css" type="text/css"  />
<title>Chrome Popup</title>
</head>

feed.js

        $(function() {
                var $items = $('#vtab>ul>li');
                $items.mouseover(function() {
                    $items.removeClass('selected');
                    $(this).addClass('selected');

                    var index = $items.index($(this));
                    $('#vtab>div').hide().eq(index).show();
                }).eq(0).mouseover();
            });


    $(document).ready(function () {  
       $('#divRss2').FeedEk({
            FeedUrl: 'http://blog.tax2290.com/feed/',
            MaxCount: 2,ShowDesc: true,
            ShowPubDate: true,
            DescCharacterLimit: 250
        });
    });


   > Please tel me how could avoid these errors and load the custom RSS feeds.

double possible de Refusa d'exécuter de script en ligne parce qu'il viole le Contenu suivant la Politique de Sécurité de la directive: "script src 'auto'"
Il y a 4 Chrome choses qui peuvent avoir un manifeste.fichier json: Chrome App, Extension Chrome, Hébergé Application, et l'héritage emballés app. Il serait utile si vous pouviez identifier avec précision qui de ces quatre vous essayez d'écrire. Votre question évoque "chrome application," mais le manifeste de vous montrer n'en est pas un pour un Chrome App, de sorte qu'il n'est pas clair ce que vous essayez de faire.

OriginalL'auteur user2564356 | 2013-07-16

2

Votre "content_security_policy" a plusieurs problèmes.

1) La première est que vous devez supprimer le point-virgule entre les 1.4.1 et jquery 1.9.1 déclarations. Plusieurs URLs doivent être séparés par un espace unique uniquement et pas les autres personnages.

2) La seconde est que vous essayez de charger ce script "http://ajax.googleapis.com/ajax/services/feed/load?v=1.0&num=2&output=json&q=http%3A%2F%2Fblog.tax2290.com%2Ffeed%2F&hl=en&callback=jsonp1373953012503" mais vous ne permettez jamais que dans votre CSP.

3) Et, en troisième lieu, il apparaît, vous devez autoriser les scripts inline.

Je voudrais changer votre "content_security_policy" pour ressembler à ceci:
```
"content_security_policy": "script-src 'self' https://ajax.googleapis.com/'unsafe-inline'; object-src 'self'"
```
"dangereux-inline' devrait résoudre le "Refus d'exécuter un script inline" erreur.

https://ajax.googleapis.com/ devrait permettre que les deux versions de jquery à charge ainsi que votre /ajarx/services/feed/charger l'URL.

Downvote: unsafe-inline est ignoré dans les Extensions de Chrome

OriginalL'auteur Jason Wheeler
1

Si vous construisez un emballés application, vous ne pouvez pas charger le script externe.
Votre demande doit intégrer tous les scripts, styles ou des images.

Vérifier ce lien pour vous assurer sont les suivantes chrome app CSP règles: https://developer.chrome.com/extensions/contentSecurityPolicy

Vous parlez emballés applications (alors que la question n'est évidemment pas sur les applications). Chargement des Extensions de scripts externes.

OriginalL'auteur Damien

Vous devez vous connecter pour publier un commentaire.