没有 Content-Security-Policy 设置,Cobalt 无法打开文件
Cobalt cann't open URLs without Content-Security-Policy setting
我发现 cobalt 只能打开 Youtube 页面,并且可以 NOT 打开没有在响应数据或 html 页面中设置 Content-Security-Policy 的网址(eg <meta http-equiv="Content-Security-Policy" content="object-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'"> ), 那么是否有任何 CSP 配置支持没有 Content-Security-Policy 设置的 URL 也可以打开?
内容安全策略规范:
https://www.w3.org/TR/CSP2/
这是一项有意的安全功能,因为 Cobalt 针对的是 运行 应用程序,而不是一般的 Web 浏览。可以使用命令行开关 --csp_mode=disable 禁用它,但这在黄金版本中被禁用。
CSP 本身仅适用于与政策关联的页面。一旦导航到另一个页面,只要当前页面的策略允许导航,该策略就会被丢弃并替换为下一个页面的策略。但是无法使用 CSP 来禁用 CSP 要求强制执行。
我发现 cobalt 只能打开 Youtube 页面,并且可以 NOT 打开没有在响应数据或 html 页面中设置 Content-Security-Policy 的网址(eg <meta http-equiv="Content-Security-Policy" content="object-src 'none'; script-src 'self' 'unsafe-eval' 'unsafe-inline'"> ), 那么是否有任何 CSP 配置支持没有 Content-Security-Policy 设置的 URL 也可以打开?
内容安全策略规范: https://www.w3.org/TR/CSP2/
这是一项有意的安全功能,因为 Cobalt 针对的是 运行 应用程序,而不是一般的 Web 浏览。可以使用命令行开关 --csp_mode=disable 禁用它,但这在黄金版本中被禁用。
CSP 本身仅适用于与政策关联的页面。一旦导航到另一个页面,只要当前页面的策略允许导航,该策略就会被丢弃并替换为下一个页面的策略。但是无法使用 CSP 来禁用 CSP 要求强制执行。