Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security Evernote Web裁剪器和内容安全策略_Security_Safari_Evernote_Browser Plugin_Content Security Policy - Fatal编程技术网

Security Evernote Web裁剪器和内容安全策略

Security Evernote Web裁剪器和内容安全策略,security,safari,evernote,browser-plugin,content-security-policy,Security,Safari,Evernote,Browser Plugin,Content Security Policy,我们目前正在向一个网站引入内容安全策略。首先插入Content Security Policy Report Only标题,以获取有关影响的一些反馈。很快我们发现Safari浏览器中的Evernote Web Clipper插件违反了CSP指令,因为它似乎向页面中注入了一些代码 我们在CSP报告中看到: {"csp-report": { "document-uri":"http://example.com/index.html", "violated-di

我们目前正在向一个网站引入内容安全策略。首先插入
Content Security Policy Report Only
标题,以获取有关影响的一些反馈。很快我们发现Safari浏览器中的Evernote Web Clipper插件违反了CSP指令,因为它似乎向页面中注入了一些代码

我们在CSP报告中看到:

{"csp-report":
    {
        "document-uri":"http://example.com/index.html",
        "violated-directive":"default-src 'self'",
        "original-policy":"default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; report-uri http://example.com/report.html",
        "blocked-uri":"safari-extension://com.evernote.safari.clipper-uahs7eh2ja",
        "source-file":"http://example.com/js/jquery.js",
        "line-number":2
    }
}

我们需要如何修改CSP头,使Evernote Web Clipper插件不被阻止?
阻止的uri
结尾似乎包含一个特定于用户的id,这使得它非常困难。

你说得对,阻止的uri的最后一位在不同的计算机上是不同的,你不能使用通配符将其列入白名单。解除阻止Web裁剪器的唯一方法是通过将
Safari extension://*
放入
默认src
来解除阻止所有Safari扩展,因此您的策略如下

default-src 'self' safari-extension://*; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; report-uri http://example.com/report.html 默认src“self”safari扩展名://*;脚本src“self”“unsafe inline”“unsafe eval”;样式src“self”“unsafe inline”;报告urihttp://example.com/report.html