פאנל ניהול מהר





  • @chocolate
    ציטוט מהויקי:

    ישנם אתרים ספציפיים שבהם הוגדר שהכרטסת לא תופיע, עקב תקלות שנוצרו.



  • @ליכט ב https://www.bhphotovideo.com/ זה כן מופיע אבל פשוט א"א ללחוץ על זה
    וב https://www.quora.com/ מופיע שגיאה הזאת
    Refused to load the script 'https://netfree.link/js/feedback.js' because it violates the following Content Security Policy directive: "script-src https://*.quora.com https://*.insnw.net https://*.mathjax.org https://*.facebook.net https://*.facebook.com https://*.googleapis.com https://*.mathjax.org https://*.twitter.com https://*.quoracdn.net https://*.google.com https://*.google-analytics.com https://*.gstatic.com https://*.youtube.com https://*.ytimg.com https://*.stripe.com https://*.syndication.twimg.com https://*.smyte.com 'unsafe-inline' 'unsafe-eval' 127.0.0.1:*".
    שלא מרשה להכרטסת להופיע



  • @chocolate
    ב https://www.bhphotovideo.com/ זה עובד אצלי רגיל.
    ב https://www.quora.com/ אכן לא עולה לי.



  • @ליכט עכשיו אצלי כנ"ל



  • כמו שזה נראה לי
    ה Content-Security-Policy Header צריך תיקון בשרת
    זה לא כתוב נכון הוא כתוב רק עם hostname בלי הפרוטוקול https או http
    ככה : https://netfree.link
    ולא כמו בתמונה
    0_1478191948895_Capture.PNG
    לידיעת @magicode
    לא בטוח שאני צודק
    מקור מכאן
    https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives

    בדוגמאות שם מביאים גם את הפרוטוקול



  • בסוף הבעיה היא עם default-src שצריך להעיף אותו עד השורה style-src וברשימת script-src להכניס את netfree.link
    כי אתה לא יכול להכניס גם את default-src וגם script-src
    תקרא כאן https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives

    " The script-src directive specifies valid sources for JavaScript. When either the script-src or the default-src directive is included "

    והשגיאה אומרת שהוא לא נמצא ברשימה script-src, והוא לא מתייחס לזה שהוא נמצא כבר ב default-src..
    אז כנראה שהוא עושה עליו פשוט override לכן כדאי שתעיף את זה ותכניס את זה רק ל script-src

    בדקתי את זה ע"י ששניתי את ה header response עם הרחבה של פיירפוקס
    https://addons.mozilla.org/en-us/firefox/addon/pourbico/?src=userprofile
    הנה תמונה
    0_1478198371568_Capture.PNG
    וזה ה Content-Security-Policy הסופי
    style-src * 'unsafe-inline';script-src netfree.link https://.quora.com https://.insnw.net https://.mathjax.org https://.facebook.net https://.facebook.com https://.googleapis.com https://.mathjax.org https://.twitter.com https://.quoracdn.net https://.google.com https://.google-analytics.com https://.gstatic.com https://.youtube.com https://.ytimg.com https://.stripe.com https://.syndication.twimg.com https://.smyte.com 'unsafe-inline' 'unsafe-eval' 127.0.0.1:;connect-src 'self' https://.quora.com wss://.tch.quora.com https://.insnw.net https://.quoracdn.net https://.stripe.com https://.syndication.twimg.com ;report-uri /security_reports/content_security_policy_violation_3RD_PARTY_POST



  • @morwin אמר בפנל ניהול מהר:

    בסוף הבעיה היא עם default-src שצריך להעיף אותו עד השורה style-src וברשימת script-src להכניס את netfree.link
    כי אתה לא יכול להכניס גם את default-src וגם script-src
    תקרא כאן https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives

    " The script-src directive specifies valid sources for JavaScript. When either the script-src or the default-src directive is included "

    והשגיאה אומרת שהוא לא נמצא ברשימה script-src, והוא לא מתייחס לזה שהוא נמצא כבר ב default-src..
    אז כנראה שהוא עושה עליו פשוט override לכן כדאי שתעיף את זה ותכניס את זה רק ל script-src

    בדקתי את זה ע"י ששניתי את ה header response עם הרחבה של פיירפוקס
    https://addons.mozilla.org/en-us/firefox/addon/pourbico/?src=userprofile
    הנה תמונה
    0_1478198371568_Capture.PNG
    וזה ה Content-Security-Policy הסופי
    style-src * 'unsafe-inline';script-src netfree.link https://.quora.com https://.insnw.net https://.mathjax.org https://.facebook.net https://.facebook.com https://.googleapis.com https://.mathjax.org https://.twitter.com https://.quoracdn.net https://.google.com https://.google-analytics.com https://.gstatic.com https://.youtube.com https://.ytimg.com https://.stripe.com https://.syndication.twimg.com https://.smyte.com 'unsafe-inline' 'unsafe-eval' 127.0.0.1:;connect-src 'self' https://.quora.com wss://.tch.quora.com https://.insnw.net https://.quoracdn.net https://.stripe.com https://.syndication.twimg.com ;report-uri /security_reports/content_security_policy_violation_3RD_PARTY_POST

    @administrators לטיפולכם


התחבר כדי לפרסם תגובה