CSP가 적용된 사이트에서 load_dict.js가 로드되지 않음

khris / naver-endic-unofficial

FF extension

Mozilla Public License 2.0

61 stars 7 forks source link

CSP가 적용된 사이트에서 load_dict.js가 로드되지 않음 #17

Closed BasixKOR closed 6 years ago

BasixKOR commented 6 years ago

테스트한 곳에서의 CSP:

Content-Security-Policy: base-uri 'self'; style-src 'self' 'unsafe-inline'; media-src 'self' https://cdn.example.org/; font-src 'self'; connect-src 'self' https://cdn.example.org/ https://example.org/ wss://example.org/ blob:; object-src 'none'; upgrade-insecure-requests; frame-ancestors 'none'

아마 제 생각에는 frame-ancestors가 문제인 듯 합니다.

khris commented 6 years ago

제보 감사합니다. 일단 알려주신 내용에 기반하여 원인 파악에 들어가도록 하겠습니다.

khris commented 6 years ago

@BasixKOR 많이 늦었습니다. 문제의 원인이 frame-ancestors가 아니라 upgrade-insecure-requests라고 의심되어(기존에는 http로 된 주소를 fetch 하였습니다) 해당 부분을 수정하였습니다. 한번 1.1.3 버전으로 테스트 해 보아주실수 있으실까요?

BasixKOR commented 6 years ago

@khris 정상적으로 작동하네요! 감사합니다 :)