Проблема CSP с createObjectURL на WebkitBlobBuilder - PullRequest
Новая
       0

Проблема CSP с createObjectURL на WebkitBlobBuilder

5 голосов
/ 24 января 2012

У меня проблема с CSP в моем расширении ...

Я использую контент-скрипт для смены изображений на сайтах. Мой контент-скрипт добавляет свои собственные изображения на веб-сайты, поэтому я получил следующее предупреждение: 

[Report Only] Refused to load image from 'chrome://extension/xxx/...' 
because of Content-Security-Policy. 
The page at https://plus.google.com/u/0/hot displayed insecure content 
from chrome://extension/xxx/....

Поэтому я добавил следующую строку в мой манифест: 

"content_security_policy": "default-src *"

и предупреждение исчезло ...

Теперь мне нужно изменить изображения, для этого я записываю их на холст, получаю dataURL и преобразую его в WebkitBlobBuilder, чтобы избежать утечки памяти из-за изменения src для тега img (с помощью большого двоичного объекта я могу отмените его, как только оно будет использовано, и оно освободит память ...)

Часть кода: 

  //Code to create a blob from dataURI 
  base.dataURItoBlob = function(dataURI, callback) { 
      var byteString; 
      if (dataURI.split(',')[0].indexOf('base64') >= 0) 
          byteString = atob(dataURI.split(',')[1]); 
      else 
          byteString = unescape(dataURI.split(',')[1]); 
      var mimeString = dataURI.split(',')[0].split(':')[1].split(';')[0];
      var ab = new ArrayBuffer(byteString.length); 
      var ia = new Uint8Array(ab); 
      for (var i = 0; i < byteString.length; i++) { 
          ia[i] = byteString.charCodeAt(i); 
      } 
      var bb = new WebKitBlobBuilder(); 
      bb.append(ab); 
      return bb.getBlob(mimeString); 
  }; 

  //Code to display the blob on an image : 
  //Write image on a canvas : 
  base.ctx.putImageData(cData, img.leftPos, img.topPos); 
  //Get a blob 
  var blobData = base.dataURItoBlob(base.canvas.toDataURL("image/png")); 
  //Create an URL from the blob 
  var urlfile = window.webkitURL.createObjectURL(dataBlob); 
  //set it on the img tag 
  img.attr("src", urlfile); 
  //Revoke the blob once loaded 
  img.load(function() { 
    window.webkitURL.revokeObjectURL(urlfile); 
  });

Этот код прекрасно работает .... Больше нет утечки памяти из-за изменения src в моем теге img.

НО у меня есть это предупреждение: 

[Report Only] Refused to load image from 'blob:https%3A%2F 
%2Fplus.google.com/52ac1648-64d6-4fce-bb35-537d939d5007' because of 
Content-Security-Policy. 
The page at https://plus.google.com/u/0/hot displayed insecure content 
from blob:https%3A%2F%2Fplus.google.com/52ac1648-64d6-4fce- 
bb35-537d939d5007.

Почему default-src из политики содержимого не применяется к капли ??

Спасибо!

1 Ответ

0 голосов
/ 31 марта 2012

Согласно спецификации CSP:

https://dvcs.w3.org/hg/content-security-policy/raw-file/bcf1c45f312f/csp-unofficial-draft-20110303.html#data--uris-must-not-be-permitted

4.1.3 данные: недопустимы URI

Так что вы должны внести его в белый список в своем манифесте 

"content_security_policy": "script-src 'self'; object-src 'self'; img-src data:
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...