microsoftedge 扩展商店，COSP 策略

测试链接

https ://microsoftedge. microsoft. com/addons/detail/ublock-origin/odfafepnkmbhccpbejgmiehpchacaeak

--------------------

很奇怪的是，非 Edge 浏览器（火狐、百分等），会触发 COSP 策略，被浏览器阻止加载 https ://store-images. s-microsoft. com/image

而 Edge 在开发者工具中观察，与其他浏览器加载同样的内容，但不会触发 COSP 同源拦截

尝试通过 Header 类插件修改 Content-Security-Policy 响应，不行，主文档加入了哈希，如果哈希与响应不符，则无效

尝试修改 store-images 响应头 Access-Control-Allow-Origin，值为 microsoftedge 也不行，也被 COSP 阻止

大家有什么解决办法

--------------------

有点恶心 edge 浏览器对 edge 扩展商店单独对 store-images 违反 COSP 情况下
为其 COSP 违规行为，开绿灯，排外对待（主要是其他浏览器连正常查看的权限都没有）

--------------------

不是在制造安全危机，我发誓！

只是让他像修改防盗链图片请求头 referer 那样

在我本地计算机上非 Edge 浏览器上正常显示图片而已，仅此而已

--------------------

虽然 edge 浏览器对 edge 扩展商店有无视 COSP 违规政策

就 ... 每次再开一个吃内存大户

只为了打开 edge 商店查看张图片

不是那么方便，我主力还是在百分上面

--------------------

附

microsoftedge 原始 COSP 头

script-src 'strict-dynamic' 'nonce-+vDtPS/bVAw5LxuTWIgmdluqJPY17+kfRtEHpJr4nkg=' 'unsafe-inline';
object-src 'self';
base-uri 'self';

----------------------

控制台警告信息

Access to image at 'https ://store-images. s-microsoft. com/image/apps....（后面太长省略）' from origin 'https ://microsoftedge. microsoft. com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

S8F8ry

你不会是输错网址了吧。

饼干的夏天

https://microsoftedge.microsoft. ... cpbejgmiehpchacaeak

S8F8ry 发表于 2022-8-8 12:55
你不会是输错网址了吧。

网址没错，原先能访问因为 86 无 PNA

跟 S8F8ry 同步一下进展，问题排查出来了
因为一些原因，某些网站在国内加载非常慢
但由于网站方节点支持，因此使用了本地反向戴夫
注意这个戴夫没有那种功能，是使用本地网络直接访问
谷歌在 94 内核开始，禁止网站向私有网络请求资源
保护用户不被跨域构建向私有网络发送攻击、漏洞等
俗称 PNA 计划，我是触发到这个机制导致的上面问题
107 版本开始为期六个月的弃用实验，如果要允许 PNA 访问
要私网按照预计格式进行 Header 回复，不符合预期的都视为拒绝访问

chrome://flags/#block-insecure-private-network-requests
https ://developer. chrome. com/blog/private-network-access-update
https ://developer. chrome. com/blog/private-network-access-preflight

不过我试过将其设置为 Disabled 完全重启浏览器，不过并没有用 ...

关键字：跨域资源共享错误 Pre-flight Missing Allow Origin Header
请求方式 + 预检，GET + 预检，HEAD + 预检，POST + 预检 ...
会先向私有网络发送 OPTIONS 请求，私有网络也必须按格式
正确回应 OPTIONS，否则 CORS PNA 跨域攻击，拒绝访问
127-0-0-0，10-0-0-0，192-168-0-0，广域网网站向私有网络请求内容

这些关键字应该能协助其他跟我遇到相关问题的，通过搜索找到解决方案

困困

S8F8ry 发表于 2022-8-8 12:55
你不会是输错网址了吧。

搞什么呢？能安装edge的扩展？？？？

luozhy

直接用 chrome 商店的不就好了，为什么要特意给自己制造困难呢？

hcocoa

luozhy 发表于 2022-8-12 09:26
直接用 chrome 商店的不就好了，为什么要特意给自己制造困难呢？

有困难克服困难要上，没困难创造困难也要上

游客 171.109.88.x 发表于 2022-8-11 17:41
网址没错，原先能访问因为 86 无 PNA

跟 S8F8ry 同步一下进展，问题排查出来了

An earlier attempt was made to roll out warnings in Chrome 98 and Chrome 102, previously announced by this blog post. This was rolled back after stability and compatibility issues were discovered during the rollout.

The identified issues were fixed for Chrome 104.

看这段描述，貌似不是我的问题，而是谷歌在处理 102 时
发生 PNA 缺陷，版本回滚 ... 而百分现在是 102 #emoji：捂脸

来源 blog/private-network-access-preflight 文章 #rollout-plan 描述

S8F8ry 发表于 2022-8-8 12:55
你不会是输错网址了吧。

麻烦 S8F8ry 大佬将上面我整理的问题，反馈给老大参考，谢谢

S8F8ry 发表于 2022-8-8 12:55
你不会是输错网址了吧。

没讨论不可讨论的内容，就硬是提示有敏感不可提交 ... 写乱码也避不开