В последнее время некоторые веб-сайты, такие как Facebook, используют Политику безопасности контента (CSP) для ограничения загрузки скриптов из «ненадежных источников». Например, при запросе HTML-контента Facebook (например, https://www.facebook.com ) HTTP-ответ Facebook включает в себя следующий заголовок ответа:
x-webkit-csp:default-src *;script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net;style-src * 'unsafe-inline';connect-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.spotilocal.com:* https://*.akamaihd.net ws://*.facebook.com:* http://*.akamaihd.net;
Это влияет на некоторые букмарклеты, которые требуют загружать и запускать библиотеки Javascript из ненадежных источников.
Например, всякий раз, когда я пытаюсь запустить букмарклет Show Anchors на странице Facebook, выполнение этого букмарклета завершается неудачно, так как он пытается загрузить jQuery из ненадежного источника. В консоли разработчика Chrome будет сказано:
Refused to load the script 'http://ajax.googleapis.com/ajax/libs/jquery/1.3/jquery.min.js' because it violates the following Content Security Policy directive: "script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net".
Я нашел страницу документации Chrome по этой теме, но она относится только к расширениям Chrome .
Я ищу решения, которые позволяют мне
- либо на один раз отключить CSP
- или постоянный белый список моих доверенных источников.