我正在使用 Firefox 56,因为它是最后一个仍然允许我使用附加组件的版本。
今天 Twitter 对其代码进行了一些更改,因此在 Twitter 上发布的视频无法在浏览器中播放。尝试播放视频时,我收到一条消息:The media could not be played在 Web 控制台中,我看到一条错误消息,例如:Content Security Policy: The page’s settings blocked the loading of a resource at blob:https://twitter.com/5970af6d-d6ea-43e1-9bd6-c9d33f08d0a6 (“default-src https://twitter.com”)
如果我通过设置“安全.csp.启用“ 到 ”错误的“,那么视频就可以像以前一样正常播放了。此外,视频在 Firefox 65 中也可以正常播放,无需进行任何调整。
我不想完全禁用浏览器中的内容安全策略,因为这会带来安全风险。
有没有办法在 Firefox 56 中为内容安全策略添加例外?
=======================================================
更新:
Twitter 发送以下响应标头:
content-security-policy: connect-src 'self' blob: https://*.giphy.com https://*.pscp.tv https://*.video.pscp.tv https://*.twimg.com https://api.twitter.com https://caps.twitter.com https://media.riffsy.com https://pay.twitter.com https://sentry.io https://ton.twitter.com https://twitter.com https://upload.twitter.com https://www.google-analytics.com https://vmap.snappytv.com https://vmapstage.snappytv.com https://vmaprel.snappytv.com https://vmap.grabyo.com https://mdhdsnappytv-vh.akamaihd.net https://mpdhdsnappytv-vh.akamaihd.net https://mmdhdsnappytv-vh.akamaihd.net https://smdhdsnappytv-vh.akamaihd.net https://smpdhdsnappytv-vh.akamaihd.net https://smmdhdsnappytv-vh.akamaihd.net https://rmdhdsnappytv-vh.akamaihd.net https://rmpdhdsnappytv-vh.akamaihd.net https://rmmdhdsnappytv-vh.akamaihd.net https://dwo3ckksxlb0v.cloudfront.net ; default-src 'self'; form-action 'self' https://twitter.com https://*.twitter.com; font-src 'self' https://*.twimg.com; frame-src 'self' https://twitter.com https://mobile.twitter.com https://pay.twitter.com https://cards-frame.twitter.com ; img-src 'self' blob: data: https://*.cdn.twitter.com https://ton.twitter.com https://*.twimg.com https://www.google-analytics.com https://www.periscope.tv https://www.pscp.tv https://media.riffsy.com https://*.giphy.com https://*.pscp.tv; manifest-src 'self'; media-src 'self' blob: https://twitter.com https://*.twimg.com https://*.vine.co https://*.pscp.tv https://*.video.pscp.tv https://*.giphy.com https://media.riffsy.com https://mdhdsnappytv-vh.akamaihd.net https://mpdhdsnappytv-vh.akamaihd.net https://mmdhdsnappytv-vh.akamaihd.net https://smdhdsnappytv-vh.akamaihd.net https://smpdhdsnappytv-vh.akamaihd.net https://smmdhdsnappytv-vh.akamaihd.net https://rmdhdsnappytv-vh.akamaihd.net https://rmpdhdsnappytv-vh.akamaihd.net https://rmmdhdsnappytv-vh.akamaihd.net https://dwo3ckksxlb0v.cloudfront.net; object-src 'none'; script-src 'self' 'unsafe-inline' https://*.twimg.com https://www.google-analytics.com https://twitter.com 'nonce-NWNhMmQ5ZjQtYTgwZS00YjVjLTkyODgtNDEzMDMwYWIyOWU2'; style-src 'self' 'unsafe-inline' https://*.twimg.com; worker-src 'self' blob:; report-uri https://twitter.com/i/csp_report?a=O5RXE%3D%3D%3D&ro=false
当页面加载时,有什么方法可以从中删除(过滤掉) blob 条目吗?
答案1
您可以尝试使用浏览器扩展来覆盖该网站的 CSP 标头: https://bewisse.com/modheader/
为 Twitter 网站添加 URL 模式过滤器和带有一些宽松策略(例如“default-src *”)的“content-security-policy”响应标头,看看是否有效。听起来您的浏览器没有正确处理策略,所以我不能 100% 确定它将如何处理这个问题。