17
क्या मोज़िला CSP डिफ़ॉल्ट रूप से Javascript from a bookmark निष्पादित करने के लिए ब्लॉक करता है?क्या सामग्री सुरक्षा नीति ब्लॉक बुकलेटलेट करता है?
क्या ऐसा करने के लिए इसे कॉन्फ़िगर किया जा सकता है?
A
उत्तर
16
2017 के रूप में, इस सवाल का जवाब अभी भी एक निश्चित "शायद" है - जैसे जब इस उत्तर मूल रूप से 2011 में पोस्ट किया गया specification स्पष्ट रूप से कहते हैं:
नीति एक संसाधन पर लागू के साथ हस्तक्षेप नहीं करना चाहिए एडॉन्स, एक्सटेंशन, या बुकमार्लेट जैसे उपयोगकर्ता-एजेंट सुविधाओं का संचालन। एक बुकमार्कलेट https://addons.mozilla.org/ पर चलेंगे, एक साइट
script-src: 'unsafe-inline'बिना एक सख्त सामग्री सुरक्षा नीति है कि:
और यह वास्तव में व्यवहार मैं क्रोम 61 में देखते हैं। फिर भी फ़ायरफ़ॉक्स में 56 बुकमार्लेट इस वेबसाइट पर नहीं चलेंगे और एक सीएसपी उल्लंघन की सूचना दी जा रही है।
Firefox bug report में विशेष रूप से similar discussion on the W3C spec से लिंक करने में इस समस्या पर बहुत लंबी चर्चा है। तो अब तक, आप वास्तव में सीएसपी द्वारा अप्रभावित बुकमार्कमार्क्स पर भरोसा नहीं कर सकते हैं। आप हमेशा सीएसपी को पूरी तरह से अक्षम कर सकते हैं, लेकिन यह आपके लिए एक महत्वपूर्ण सुरक्षा परत कम है।
+0
इस परीक्षण के लिए धन्यवाद! लेकिन अगर आप चाहें तो बस सीएसपी स्विच कर सकते हैं। इसके बारे में खोलें: कॉन्फ़िगर करें और "false.csp.enable" को "false" पर सेट करें। तो आप वैसे भी अपनी खुद की पुस्तिकाएं चलाने में सक्षम होंगे। – PiTheNumber
+3
@PiTheNumber: मेरा जवाब पहले से ही कहता है कि आप सीएसपी को बंद कर सकते हैं - और ऐसा करने की सलाह नहीं देते हैं। –
+0
क्षमा करें, जब मैंने टिप्पणी लिख रही थी तो मैंने आपको संपादित नहीं किया था। – PiTheNumber
5
व्यवहार मोज़िलास विकी में निर्दिष्ट है।
सीएसपी उपयोगकर्ता द्वारा आपूर्ति की गई स्क्रिप्ट (जैसे ब्राउज़र ऐड-ऑन और बुकमार्कलेट) के संचालन में हस्तक्षेप नहीं करना चाहिए।
यहाँ एक नज़र: https://wiki.mozilla.org/Security/CSP/Specification#Non-Normative_Client-Side_Considerations
5
हाँ, मोज़िला फ़ायरफ़ॉक्स में सीएसपी ब्लॉक बुकमार्कलेट। bug about it है।
हालांकि, अगर आप एक बाहरी CSS स्टाइलशीट में जे एस कोड इंजेक्शन लगाने, मेरे Top News Feed bookmarklet तरह से इस प्रतिबंध के आसपास पहुंच सकते है:
बाहरी सीएसएस:
#topnewsfeed { font-family: '(function(){/*payload*/})()'; }
बुकमार्कलेट जे एस:
(function() {
var a = document.createElement("link");
a.rel = "stylesheet";
a.href = "//niutech.github.io/topnewsfeed/topnewsfeed.css";
a.onload = function() {
var a = b.currentStyle ? b.currentStyle.fontFamily : document.defaultView.getComputedStyle(b, null).fontFamily;
eval(a.replace(/^["']|\\|["']$/g, ""));
};
document.body.appendChild(a);
var b = document.createElement("div");
b.id = "topnewsfeed";
document.body.appendChild(b);
})()
बुकमार्कलेट जेएस कोड युक्त एक सीएसएस फ़ाइल लोड करता है, इस सीएसएस द्वारा स्टाइल किए गए तत्व को जोड़ता है, तत्व शैली विशेषता औरपढ़ता हैकोड।
+5
'स्टाइलशीट लोड करने से इंकार कर दिया गया' https: //
0
मैंने Greasemonkey उपयोगकर्ताक्रिप्ट (फ़ायरफ़ॉक्स में) का उपयोग करके इस समस्या के लिए एक कार्य-आसपास "ठीक" बनाया है। अब आपके पास सभी सीएसपी और https: // साइट्स पर बुकमार्कमार्लेट हो सकते हैं, साथ ही आपके बुकमार्लेट्स को एक बुकमार्क्स में अलग-अलग स्क्वाइड होने की बजाए एक अच्छी, आसानी से संपादन योग्य लाइब्रेरी फ़ाइल में रखा जा सकता है।
देखें: https://groups.google.com/d/msg/greasemonkey-users/mw61Ynw5ORc/Gl_BNUhtSq0J
+0
यह विधि काम नहीं करती है क्योंकि बुकमार्कलेट निष्पादित नहीं किया जा सकता है (बुकमार्कलेट = 'असुरक्षित-इनलाइन') – mems
संबंधित मुद्दे
- 1. सामग्री सुरक्षा नीति: क्रोम एक्सटेंशन
- 2. अपरिचित सामग्री-सुरक्षा-नीति निर्देश
- 3. जावास्क्रिप्ट टेम्पलेट इंजन जो क्रोम की सामग्री सुरक्षा नीति
- 4. क्यों मेरी सामग्री सुरक्षा नीति हर जगह काम लेकिन सफारी
- 5. रनटाइम पर जावा सुरक्षा नीति अद्यतन करें?
- 6. संभावित सामग्री फर्जीज़ के खिलाफ पुशस्टेट कैसे सुरक्षा करता है?
- 7. क्या सामग्री सुरक्षा नीति का कनेक्ट-src निर्देश आपको क्रॉस डोमेन अनुरोध करने की अनुमति देता है?
- 8. #if 0 ..... #endif ब्लॉक क्या करता है?
- 9. सामग्री ऑफसेट UIScrollView में क्या करता है?
- 10. क्या डब्ल्यूसीएफ संदेश सुरक्षा वास्तव में संदेश सामग्री एन्क्रिप्ट करता है?
- 11. क्लाइंट साइड सुरक्षा के संबंध में, क्या सीओआरएस समान-मूल-नीति को बदलने के अलावा कुछ भी करता है?
- 12. iframe लोडिंग जावास्क्रिप्ट निष्पादन ब्लॉक करता है?
- 13. Console.In.ReadLineAsync ब्लॉक क्यों करता है?
- 14. सिस्टम के लिए सुरक्षा नीति को परिभाषित करना
- 15. "सुरक्षा चर" क्या है?
- 16. क्या UIWebView में क्रॉस डोमेन नीति है?
- 17. एंटी-क्रॉस-डोमेन नीति का क्या बिंदु है?
- 18. jQuery शो() फ़ंक्शन इनलाइन ब्लॉक प्रदर्शित करता है। कैसे? ब्लॉक:
- 19. कैसे जीडब्ल्यूटी आरपीसी धारावाहिक नीति फाइलों को लोड करता है?
- 20. क्या एचटीटीपीएस सीएसआरएफ हमलों के खिलाफ सुरक्षा करता है?
- 21. क्या PHP का FILTER_VALIDATE_EMAIL पर्याप्त सुरक्षा प्रदान करता है?
- 22. क्या जावास्क्रिप्ट "नकली गोपनीयता" सुरक्षा जोखिम उत्पन्न करता है?
- 23. क्या यह Django की सीएसआरएफ सुरक्षा कैसे काम करता है?
- 24. NSURLRequest कैश नीति
- 25. सेवा के लिए आईओएस पुनरावर्ती सदस्यता नीति, सामग्री
- 26. SAML वास्तव में सुरक्षा प्रदान करता है?
- 27. क्या एमवीसीमेलर SendAsync एक एएसपी.नेट एमवीसी अनुरोध ब्लॉक करता है?
- 28. क्या टीसीपी सॉकेट के लिए कनेक्ट() ब्लॉक करता है?
- 29. क्या सी # "आखिरकार" ब्लॉक हमेशा निष्पादित करता है?
- 30. ThreadPoolExecutor नीति
बस जिज्ञासा, तुम क्यों बुकमार्कलेट को निष्क्रिय करना चाहते हैं? – ThiefMaster
मैं सिर्फ चिंतित नहीं हूं कि कोई और ऐसा कर सकता है क्योंकि वे वहां वेबपृष्ठ पर जावास्क्रिप्ट इंजेक्शन नहीं लेना चाहते हैं। – PiTheNumber
हमेशा greasemonkey जैसी चीजें हैं। यदि ** उपयोगकर्ता ** निर्णय लेता है कि वह वेबसाइट में जावास्क्रिप्ट इंजेक्ट करना चाहता है जो केवल खुद को प्रभावित करेगा, उसे किसी को भी ऐसा करने से रोकने का अधिकार नहीं है। – ThiefMaster