Wpis z mikrobloga

Skopiuj link

06.11.2018, 15:16:08

Mirki z #webdev i #api - napisałem sobie taki dodatek do Tampermonkey który służyłi do nadawania paczek. Ogólnie będąc na stronie kuriera wpisywało się ID zamówienia i dodatek łączył się po autoryzacji z API i wypełniał określone pola. Teraz niestety strona kuriera dodała CPS i otrzymuję komunikat.

Refused to connect to '[https://adresdoapi.pl/cale/zapytani/json'](https://adresdoapi.pl/cale/zapytani/json') because it violates the following Content Security Policy directive: "connect-src 'self'".

Pytanie - czy da się jakoś to obejść? Po prostu nie ze zezwala na połączenie z innym hostem zewnętrznym.

Nie pytajcie dlaczego nie bezpośrednio do API DPD itp - ze względu na ogromną ilość zmiennych tak Klient wolał nadawać więc to już jego sprawa.

#programowanie #javascript

dog_meat

06.11.2018, 15:37:08

@hakeryk2: możesz w przeglądarce wyłączyć CSP (np chrome ma chyba tryb insecure czy coś podobnego), ale zdecydowanie nie polecam

hakeryk2

06.11.2018, 15:41:29

@dog_meat: to chyba pomyliłeś z CORS i się wyłącza przez Web security. Csp raczej nie widziałem bo to po stronie serwera chyba.

uszanowanko

06.11.2018, 15:43:45

@hakeryk2: a to https://chrome.google.com/webstore/detail/disable-content-security/ieelmcmcagommplceebfedjlakkhpden ?

dog_meat

06.11.2018, 16:05:16

@hakeryk2: to jest blokada po stronie przeglądarki. Curlem możesz spokojnie odczytać zawartość chronioną przez CSP. To ma tylko chronić użytkowników

hakeryk2

07.11.2018, 07:22:56

@uszanowanko: @dog_meat: Dzięki wielkie! Wtyczka działa, CPS nie sprawdza, Klient jest świadom, że odpala specjalną instancję chrome poprzez chrome.exe --user-data-dir="C:/Chrome dev session" --disable-web-security z wtyczką CPS by nadać cokolwiek więc jeśli chodzi o jego bezpieczeństwo to jest świadom tego i zamyka przeglądarkę do "normalnej" pracy.