search

arneoio / rgaa-checker

A browser extension to check compliance with the RGAA standard
https://www.arneo.io
Apache License 2.0
55 stars 1 forks source link

Problems with CSP style-src disabled #2

Open Zigazou opened 7 months ago

Zigazou commented 7 months ago

When used against a website on which CSP forbid style-src (inline styles), the UI of RGAA checker is not shown properly.

Site example: https://zigazou.dev

<style>.l-extension,:root{--primary-color-1: #fe5e55;--primary-color-2: #ffe4e0;--primary-color-3: #fff3f2;--color-grey-1: #333;--color-grey-2: #4f4f4f;--color-grey-3: #828282;--color-grey-4: #bdbdbd;--color-grey-5: #e0e0e0;--color-grey-6: #f2f2f2;--secondary-color-green: #219653;--secondary-color-green-soft: #e4f2ea;--secondary-color-red: #eb5757;--secondary-color-red-soft: #fceaea;--secondary-color-orange: #de6106;--secondary-color-orange-soft: #fdf2e9;--text-color: #252525}#arneo-browser-highlight,:root{--highLight-color: #fe5e55}html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acronym,address,big,cite,code,del,dfn,em,img,ins,kbd,q,s,samp,small,strike,strong,sub,sup,tt,var,b,u,i,center,dl,dt,dd,ol,ul,li,fieldset,form,label,legend,table,caption,tbody,tfoot,thead,tr,th,td,article,aside,canvas,details,embed,figure,figcaption,footer,header,hgroup,menu,nav,output,ruby,section,summary,time,mark,audio,video{margin:0;padding:0;border:0;font:100% inherit;vertical-align:baseline}article,aside,details,figcaption,figure,footer,header,hgroup,menu,nav,section{display:block}body{line-height:1}ol,ul{list-style:none}blockquote,q{quotes:none}
[…]
Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à inline (« style-src »).

CSP header

content-security-policy
    default-src 'none'; font-src 'self'; img-src 'self'; frame-src 'self'; object-src 'self'; style-src 'self'; script-src 'self'; connect-src 'self'; form-action 'none'; frame-ancestors 'none'; base-uri 'none'
jonathan-vallet commented 7 months ago

Effectivement, la CSS pourrait être chargée dans un fichier au lieu d'être en inline. On va voir pour corriger ça et éviter les soucis de CSP. :)

jonathan-vallet commented 6 months ago

Nous sommes en train de travailler sur une grosse amélioration de l'extension qui sera maintenant en grande partie dans un onglet des devtools et plus dans la page. Je pense que ça règlera les soucis de CSP.