Leonor
Cargué Disquss en mi sitio web de WordPress, que se ejecuta en HTTPS. El problema es que si bien los comentarios se muestran en la parte inferior de la página web, son blancos (y como el fondo de la página también es blanco, no son visibles).
Si abro Inspector en Chrome, aparece el siguiente error en la pestaña Consola.
Refused to execute inline script because it violates the following
Content Security Policy directive: "script-src https://*.twitter.com:*
https://api.adsnative.com/v1/ad.json *.adsafeprotected.com *.google-analytics.com https://glitter-services.disqus.com
https://*.services.disqus.com:* disqus.com http://*.twitter.com:*
a.disquscdn.com api.taboola.com referrer.disqus.com *.scorecardresearch.com
*.moatads.com https://admin.appnext.com/offerWallApi.aspx 'unsafe-eval'
https://mobile.adnxs.com/mob *.services.disqus.com:*". Either the 'unsafe-
inline' keyword, a hash ('sha256-...'), or a nonce ('nonce-...') is required
to enable inline execution.
Esto sucede debido a la extensión del bloqueador de ventanas emergentes en Chrome, pero me gustaría habilitarla con la política de seguridad de contenido: http://www.html5rocks.com/en/tutorials/security/content-security-policy/ . Básicamente, el error ocurre en el esquema chrome-extension://*, por lo que necesito agregar una entrada adecuada a Content-Security-Policy para permitir las extensiones de Chrome.
¿Cómo desactivo la política de seguridad para las extensiones de Chrome?
Esto no es algo que pueda (o deba) resolver de manera significativa. Depende del proveedor de la extensión implementarse adecuadamente. El hecho es que la extensión está intentando inyectar código en línea y la Política de seguridad de contenido la detiene porque el CSP está hecho para bloquearlo. Como debería, ya que la extensión es indistinguible del malware desde su perspectiva.
Podrías (pero deberías no) simplemente agregue reglas a la Política de seguridad de contenido de su sitio para permitir que se ejecute la extensión… pero esto es potencialmente peligroso, increíblemente específico para cada caso, y básicamente solo debe hacerse en un contexto empresarial en el que todos tienen un (mal codificado) extensión del navegador que se requiere para trabajar con su sitio. E incluso entonces, generalmente se preferiría volver a codificar la extensión.
¿Cómo desactivo la política de seguridad para las extensiones de Chrome?
No. Además usted pueden no.
Necesito agregar una entrada adecuada a Content-Security-Policy para permitir extensiones de Chrome.
El CSP de extensiones es parte de la extensión (local).
mientras que los comentarios se muestran en la parte inferior de la página web, son blancos Suena como una cuestión de CSS para mí … ¿qué pasa con
color: black;por tu texto?
O abreviado: los sitios web no pueden meterse con las extensiones. Lo cual es bueno: no quiero que Facebook deshabilite mi CSP y envíe mis preferencias personales de pornografía (desde el complemento PornLiner) a mi perfil.