Saya perhatikan bahwa GitHub dan Facebook kini menerapkan kebijakan ini, yang membatasi skrip pihak ketiga untuk dijalankan dalam pengalaman/situs mereka.
Apakah ada cara untuk mendeteksi apakah suatu dokumen berjalan pada CSP menggunakan JavaScript? Saya sedang menulis bookmarklet, dan ingin memberikan pesan kepada pengguna jika mereka berada di situs yang tidak mendukung penyematan tag skrip.
Bagaimana dengan ini. Untuk koneksi yang lambat, batas waktu mungkin harus dinaikkan. Onload adalah apa yang saya gunakan untuk mendeteksinya dan sepertinya berhasil. Jika dimuat maka CSP jelas tidak diaktifkan atau tidak dikonfigurasi dengan benar.
var CSP = 0;
frame = document.createElement('script');
frame.setAttribute('id', 'theiframe');
frame.setAttribute('src', location.protocol+'//example.com/');
frame.setAttribute('onload', 'CSP=1;');
document.body.appendChild(frame);
setTimeout(function(){if (0 == CSP){alert("CSP IS ENABLED");}}, 250);
Refused to execute script because its MIME type ('text/html') is not executable, and strict MIME type checking is enabled. Juga setelah saya menyetel frame.setAttribute('type', 'application/javascript');
- person Kiechlus; 11.01.2018
Anda dapat mencoba menangkap kesalahan pelanggaran CSP menggunakan peristiwa "securitypolicyviolation"
Dari: https://developer.mozilla.org/en-US/docs/Web/API/SecurityPolicyViolationEvent
contoh:
document.addEventListener("securitypolicyviolation", (e) => {
console.log(e.blockedURI);
console.log(e.violatedDirective);
console.log(e.originalPolicy);
});
Dari https://github.com/angular/angular.js/blob/master/src/Angular.js#L1091, fungsi noUnsafeEval
function noUnsafeEval() {
try {
/* jshint -W031, -W054 */
new Function('');
/* jshint +W031, +W054 */
return false;
} catch (e) {
return true;
}
}
Cara mudah untuk mendeteksi dukungan untuk CSP adalah dengan memeriksa apakah metode eval() JavaScript dapat dijalankan tanpa menimbulkan kesalahan, seperti:
try {
eval("return false;");
} catch (e) {
return true;
}
Namun, ini hanya berfungsi jika CSP benar-benar diaktifkan (tentu saja), dengan Kebijakan-Keamanan-Konten disetel di header respons yang memuat halaman, dan tanpa 'unsafe-eval' di script-src.
Saya datang ke sini mencari cara untuk mendeteksi dukungan CSP di browser tanpa benar-benar mengaktifkan CSP. Namun tampaknya hal ini tidak mungkin dilakukan.
Sebagai tambahan, IE tidak mendukung CSP, hanya arahan sandbox di IE 10+, yang jika dilihat dari standar CSP, tidak menjadikannya browser web yang sesuai.
fetch(document.location.href)
.then(resp => {
const csp = resp.headers.get('Content-Security-Policy');
// does this exist? Is is any good?
});
Namun ini akan gagal dengan connect-src='none' dan dilaporkan.
Saat ini, tidak ada cara untuk melakukannya di browser pengiriman.
Namun, hal seperti berikut ini seharusnya berfungsi, sesuai spesifikasi, dan berfungsi di Chrome dengan fitur platform web eksperimental yang diaktifkan di chrome://flags/:
function detectCSPInUse() {
return "securityPolicy" in document ? document.securityPolicy.isActive : false;
}
Antarmuka SecurityPolicy (apa yang Anda dapatkan dari document.securityPolicy jika diterapkan) memiliki beberapa atribut yang memberikan rincian lebih lanjut mengenai apa yang saat ini diperbolehkan.
false meskipun mereka menjalankannya (yang mencegah penyisipan tag script)
- person onassar; 27.10.2013
chrome://flags/, menyalakannya, dan memulai ulang browser mereka. Namun, Anda dapat menerapkannya sekarang -- kode di atas dirancang untuk berfungsi jika API tersedia.
- person AndrewF; 28.10.2013
SecurityPolicy tidak ada lagi dalam spesifikasi.
- person gsnedders; 24.04.2014
<script>var test=true;</script>baru ke dalam dokumen dan kemudian memeriksa apakah variabelnya sudah disetel. Jika CSP diterapkan (dan skrip Anda tidak diizinkan) blok kode ini tidak akan dijalankan sama sekali. - person kravietz schedule 29.10.2013scriptonerror, dan melihat apakah itu dapat membawa saya ke mana pun. - person onassar schedule 05.11.2013