代码之家  ›  专栏  ›  技术社区  ›  mark

如何从浏览器控制台获取localhost资源,而不获取内容安全策略冲突错误?

content-security-policy localhost fetch google-chrome
  •  0
  • mark  · 技术社区  · 3 年前

    我有一个最简单的本地http服务器,它连接到本地主机上,为单个文件提供服务。我可以很好地从浏览器导航到资源,但我需要能够使用 fetch 浏览器控制台的web api,而这根本不起作用 除非控制台来自完全相同的来源 .

    请注意:

    资源是实时的: 

    C:\> (Invoke-WebRequest http://localhost:49152/C:/temp/events/62.0.0.32712-0515-834-4.build.Main_events.json).StatusCode
200
C:\>

    当控制台来自同一来源时: enter image description here

    enter image description here

    我明白我可以忽略第一个错误——提到 http://127.0.0.1:9001 .所以我的问题是第二个错误: 

    Refused to connect to 'http://localhost:49152/C:/temp/events/62.0.0.32712-0515-834-4.build.Main_events.json' because it violates the document's Content Security Policy.

    到目前为止,我还没有弄明白如何修复它。这似乎是经典的CORS问题,但在运行时 取来 浏览器不会发出任何飞行前选项请求。我知道这一点,因为我在运行Fiddler。它显示了 GET 来自同一来源的请求,但绝对没有来自另一来源的请求。

    原著 取来 我试图实现的代码是: 

        const request = fetch(url)
                        .then(response => response.blob())
                        .then(blob => {
                          globals.dispatch(Actions.openTraceFromFile({
                            file: new File([blob], fileName),
                          }));
                        })
                        .catch(e => alert(`Could not load local trace ${e}`));

    它来自 https://www.ui.perfetto.dev/ 我试图以非交互方式加载我的跟踪文件。

    (这个问题与 How to open a chrome trace file with ui.perfetto.dev non interactively? How can I open chrome browser with disabled document's content security policy? )

    我试着用浏览器运行chrome --disable-web-security 标志,它应该禁用CORS验证(据我对该标志的理解)。没用。

    我能做些什么来让它工作吗?

    web服务器源代码: 

    function NavigateToFile(
    [Parameter(Mandatory)][ValidateScript({ Test-Path $_ -PathType Leaf })]$FilePath,
    [scriptblock]$Action
)
{
    $port = Get-OpenTcpPort
    $http = [Net.HttpListener]::new()
    $http.Prefixes.Add("http://localhost:$Port/")
    $http.Start()

    $FilePath = (Get-Item $FilePath).FullName.Replace('\', '/')
    $ExpectedUrl = "$($http.Prefixes)$FilePath"
    $ExpectedUrl | ForEach-Object $Action

    try
    {
        $run = $true
        while ($http.IsListening -and $run)
        {
            $context = $http.GetContext()
            Write-Host "$($context.Request.HttpMethod) $($context.Request.Url)"
            if ($context.Request.HttpMethod -eq 'GET')
            {
                if ($context.Request.Url -eq $ExpectedUrl)
                {
                    $buffer = [IO.File]::ReadAllBytes($FilePath)
                }
                else
                {
                    $buffer = [Text.Encoding]::UTF8.GetBytes("Terminated")
                    $run = $false
                }
                $context.Response.ContentLength64 = $buffer.Length
                $context.Response.OutputStream.Write($buffer, 0, $buffer.Length)
                $context.Response.OutputStream.Close()
            }
        } 
    }
    finally
    {
        $http.Close();
    }
}
    0 回复  |  直到 3 年前
        1
  •  0
  •   primiano    3 年前

    这不是CORS,而是内容安全策略,定义如下:

    https://github.com/google/perfetto/blob/master/ui/src/frontend/index.ts#L127

    它只支持从localhost:9001获取,以减少攻击面。

    如果让Web服务器在端口9001而不是随机端口上侦听,那么错误应该会消失。

    推荐文章
    NeitoFR  ·  Node Express服务器:如何正确地提供HTML文件(包括脚本和css)?(csp、相对路径等)
    7 年前
    brett m  ·  日历javascript调用不工作
    7 年前
    Nate Anderson  ·  内容安全策略时mailto href inside frame不工作
    7 年前
    user3554151  ·  Chrome扩展将具有动态值的脚本注入到具有严格CSP的页面中
    7 年前
    Lost_In_Library  ·  内容安全策略属性Mvc-多次添加
    7 年前
    Tiffany  ·  无法识别内容安全策略报告uri
    7 年前
    Amin Shah Gilani  ·  Mozilla Observatory说我没有CSP,但我有
    8 年前
    Buzut  ·  没有不安全内联的内容安全策略和谷歌分析?
    8 年前
    user984003  ·  chrome.browserAction.setIcon()不适用于content_security_policy
    12 年前
    Claudio  ·  控制台显示有关内容安全策略的错误和大量失败的GET请求
    12 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号