关闭使用autoescape = strict禁用URL替换
[英]Closure disable URL substitution with autoescape=strict
原文
2015-04-10 22:33:56
8
1
google-chrome-extension/
google-closure/
google-closure-templates/
soy-templates
问题描述
我正在使用Closure渲染chrome扩展程序渲染一个大豆模板,并且由于被soy.$$filterNormalizeUri过滤而无法插入chrome-extension://*链接soy.$$filterNormalizeUri
虽然通常不希望允许chrome-extension://*链接,但在chrome扩展名内是有意义的。
是否有办法将协议列入白名单或允许特定情况下进行未经过滤的URL替换(也许使用soy.$$normalizeUri而不是soy.$$filterNormalizeUri )? 输入不是用户定义的,应该可以安全使用。
例:
{template .t}
{foreach $src in $list}
<link rel="stylesheet" href="{$src}" />
{/foreach}
{/template}
其中$list是样式表路径的生成列表,以chrome-extension://*开头
返回的错误是Uncaught AssertionError: Failure: Bad value for |filterNormalizeUri Uncaught AssertionError: Failure: Bad value chrome-extension:// ... for |filterNormalizeUri
有关转义的信息: https : //developers.google.com/closure/templates/docs/security#in_urls
1 个解决方案
解决方案1
0 2015-04-14 17:33:17
如果$ list的元素是SanitizedContent实例而不是字符串,那么我认为不应对其进行转义。
有没有办法通过Chrome扩展程序禁用chrome_url_override?
[英]Is there a way to disable chrome_url_override via a Chrome Extension?
会在chrome扩展程序中添加“ chrome_url_overrides”,从而禁用现有用户的扩展程序吗?
[英]Will adding “chrome_url_overrides” to chrome extension, disable the extension to existing users?
Chrome扩展程序通过严格的CSP将具有动态值的脚本注入页面
[英]Chrome extension inject script with dynamic value into page with strict CSP
序列化网站的完整Javascript状态,包括关闭/隐藏调查表?
[英]Serializing the complete Javascript state of a website including Closure/Hidden scopies?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
清单文件中的update_url禁用我的chrome扩展名
有没有办法通过Chrome扩展程序禁用chrome_url_override?
在闭包中应用 suggestionCallback 时出错
会在chrome扩展程序中添加“ chrome_url_overrides”,从而禁用现有用户的扩展程序吗?
使用Google Closure进行Ajax调用
在Javascript / google关闭库中进行类型转换
Chrome网上应用店过于严格警告使用公共API
Chrome扩展程序通过严格的CSP将具有动态值的脚本注入页面
闭包处理程序给出 TypeError: foo is not a function
序列化网站的完整Javascript状态,包括关闭/隐藏调查表?
相关标签