WordPress + Disqus + từ chối thực thi tập lệnh nội tuyến

Question

Tôi đã tải Disquss trên trang web Wordpress của tôi, đang chạy trên HTTPS. Vấn đề là mặc dù các nhận xét được hiển thị ở cuối trang web, chúng có màu trắng (và vì nền của trang cũng có màu trắng, chúng không hiển thị).

Nếu tôi mở Trình kiểm tra trong Chrome, lỗi sau sẽ được in vào tab Bảng điều khiển.

Refused to execute inline script because it violates the following 
Content Security Policy directive: "script-src https://*.twitter.com:* 
https://api.adsnative.com/v1/ad.json *.adsafeprotected.com *.google-analytics.com https://glitter-services.disqus.com 
https://*.services.disqus.com:* disqus.com http://*.twitter.com:* 
a.disquscdn.com api.taboola.com referrer.disqus.com *.scorecardresearch.com 
*.moatads.com https://admin.appnext.com/offerWallApi.aspx 'unsafe-eval' 
https://mobile.adnxs.com/mob *.services.disqus.com:*". Either the 'unsafe- 
inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required 
to enable inline execution. 

Điều này xảy ra vì sự Blocker mở rộng Popup trong Chrome, nhưng tôi muốn kích hoạt nó với chính sách bảo mật nội dung: http://www.html5rocks.com/en/tutorials/security/content-security-policy/. Về cơ bản, lỗi xảy ra trong chrome-extension: // * scheme, vì vậy tôi cần thêm một mục thích hợp vào Content-Security-Policy để cho phép tiện ích chrome.

Tôi nên vô hiệu hóa chính sách bảo mật cho tiện ích mở rộng chrome như thế nào?

Answer 1

Tôi nên vô hiệu hóa chính sách bảo mật cho tiện ích chrome như thế nào?

Không. Ngoài ra, bạn có thể không.

Tôi cần thêm mục nhập phù hợp vào Chính sách bảo mật nội dung để cho phép tiện ích chrome.

CSP của tiện ích mở rộng là một phần của tiện ích (địa phương).

trong khi các ý kiến ​​được trình bày ở dưới cùng của trang web, họ có màu trắng Âm thanh như một vấn đề của CSS để tôi ... những gì về color: black; cho văn bản của bạn?

Hoặc ngắn: Trang web không thể gây rối với tiện ích mở rộng. Đó là tốt - Tôi không muốn facebook để vô hiệu hóa CSP của tôi và gửi sở thích khiêu dâm cá nhân của tôi (từ PornLiner addon) vào hồ sơ của tôi.

Answer 2

Đây không phải là điều bạn có thể (hoặc nên) giải quyết có ý nghĩa. Tùy thuộc vào nhà cung cấp tiện ích mở rộng đến properly implement themselves. Thực tế là phần mở rộng đang cố gắng để chèn mã nội tuyến và nó đang bị ngừng bởi Chính sách bảo mật nội dung vì CSP được tạo để chặn nó. Như nó phải, kể từ khi phần mở rộng là không thể phân biệt từ phần mềm độc hại từ quan điểm của nó.

Bạn có thể (nhưng nên không) chỉ cần thêm quy tắc vào Chính sách bảo mật nội dung của trang web của bạn để cho phép tiện ích mở rộng chạy ... nhưng điều này có thể nguy hiểm, vô cùng cụ thể, và về cơ bản chỉ được thực hiện bối cảnh doanh nghiệp mà mọi người đều có một tiện ích mở rộng trình duyệt (được mã hóa kém) cần thiết để làm việc với trang web của bạn. Và thậm chí sau đó tái mã hóa phần mở rộng nói chung sẽ được ưa thích.