rgaa-checker icon indicating copy to clipboard operation
rgaa-checker copied to clipboard

Published 20 hours ago verified publisher icon arneoio

Problems with CSP style-src disabled

Open Zigazou opened this issue 11 months ago • 2 comments

When used against a website on which CSP forbid style-src (inline styles), the UI of RGAA checker is not shown properly.

Site example: https://zigazou.dev

<style>.l-extension,:root{--primary-color-1: #fe5e55;--primary-color-2: #ffe4e0;--primary-color-3: #fff3f2;--color-grey-1: #333;--color-grey-2: #4f4f4f;--color-grey-3: #828282;--color-grey-4: #bdbdbd;--color-grey-5: #e0e0e0;--color-grey-6: #f2f2f2;--secondary-color-green: #219653;--secondary-color-green-soft: #e4f2ea;--secondary-color-red: #eb5757;--secondary-color-red-soft: #fceaea;--secondary-color-orange: #de6106;--secondary-color-orange-soft: #fdf2e9;--text-color: #252525}#arneo-browser-highlight,:root{--highLight-color: #fe5e55}html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,acronym,address,big,cite,code,del,dfn,em,img,ins,kbd,q,s,samp,small,strike,strong,sub,sup,tt,var,b,u,i,center,dl,dt,dd,ol,ul,li,fieldset,form,label,legend,table,caption,tbody,tfoot,thead,tr,th,td,article,aside,canvas,details,embed,figure,figcaption,footer,header,hgroup,menu,nav,output,ruby,section,summary,time,mark,audio,video{margin:0;padding:0;border:0;font:100% inherit;vertical-align:baseline}article,aside,details,figcaption,figure,footer,header,hgroup,menu,nav,section{display:block}body{line-height:1}ol,ul{list-style:none}blockquote,q{quotes:none}
[…]

Content-Security-Policy : Les paramètres de la page ont empêché le chargement d’une ressource à inline (« style-src »).

CSP header

content-security-policy
	default-src 'none'; font-src 'self'; img-src 'self'; frame-src 'self'; object-src 'self'; style-src 'self'; script-src 'self'; connect-src 'self'; form-action 'none'; frame-ancestors 'none'; base-uri 'none'

Zigazou avatar Mar 04 '24 13:03 Zigazou

Effectivement, la CSS pourrait être chargée dans un fichier au lieu d'être en inline. On va voir pour corriger ça et éviter les soucis de CSP. :)

jonathan-vallet avatar Mar 07 '24 19:03 jonathan-vallet

Nous sommes en train de travailler sur une grosse amélioration de l'extension qui sera maintenant en grande partie dans un onglet des devtools et plus dans la page. Je pense que ça règlera les soucis de CSP.

jonathan-vallet avatar Mar 30 '24 16:03 jonathan-vallet