У меня есть расширение Google Chrome, где я ловлю заголовки для каждого веб-запроса и ищу некоторую информацию в заголовках. Веб-сайты, которые я рассматриваю, просто особенные и несколько, и они отправляют политику безопасности контента по умолчанию в метатеге источника. Что блокирует любой javascript:
<meta http-equiv="Content-Security-Policy" content="script-src 'none';" >
Веб-сайты также отправляют мне свою настоящую политику безопасности содержимого в заголовках. Короче говоря, эта политика безопасности содержимого в заголовках должна вступить в силу после того, как я выполнил поиск информации в заголовках. Потому что после того, как я нахожу информацию, которую ищу, я перезаписываю источник и записываю новый контент в браузер с помощью document.write () со скриптом контента, отправляемым из моего расширения браузера.
Прежде всего, япросто не понимаю, какая политика безопасности контента действует, где, потому что источник с политикой безопасности контента в метатеге больше не заботится о политике безопасности контента в заголовках. Тот, что в метатеге, эффективен. Это правильно? Кроме того, когда я переопределяю источник с помощью document.write (), похоже, что никакая политика безопасности содержимого больше не вступает в силу. Если я заменю его в метатеге, браузер выдаст в консоли предупреждение о том, что он его проигнорировал. Тот, что в заголовках, вообще не действует. Когда браузер оценивает контент-политику безопасности и возможно ли ее пересмотреть? или с помощью document.write () проблема здесь?