妥协 Chrome?已修改 Content-Security-Policy
Compromised Chrome? Modified Content-Security-Policy
我的应用程序正在被 Nginx 反向代理。
我已设置 Nginx 以在响应中添加 Content-Security-Policy header。这工作得很好,我可以看到 Chrome 返回的 header 以及许多机器的 CURL。
我从一台特定的机器上看到了一些非常奇怪的东西。 Chrome 仅显示响应中返回的 Content-Security-Policy header 的一小部分,遗漏了一些关键策略。在同一台机器上使用不同的浏览器时,header 全部返回。
抱歉,如果这是一个愚蠢的问题,但可能是 Chrome 中的二进制文件或其他内容已被修改并且正在修改 Content-Security-Policy header?我明白这听起来有多么荒谬,而且我可能对 CSP 有一些不了解的地方。
有人可以帮助我了解这里发生的事情吗?
大多数机器得到的是什么:
Content-Security-Policy:default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'self'
这台机器得到的是什么:
Content-Security-Policy:default-src 'self';
尤里卡!我有答案了。
ESET 似乎正在检查和修改请求中的 headers。你可以切换这个 off quite easily.
我的应用程序正在被 Nginx 反向代理。
我已设置 Nginx 以在响应中添加 Content-Security-Policy header。这工作得很好,我可以看到 Chrome 返回的 header 以及许多机器的 CURL。
我从一台特定的机器上看到了一些非常奇怪的东西。 Chrome 仅显示响应中返回的 Content-Security-Policy header 的一小部分,遗漏了一些关键策略。在同一台机器上使用不同的浏览器时,header 全部返回。
抱歉,如果这是一个愚蠢的问题,但可能是 Chrome 中的二进制文件或其他内容已被修改并且正在修改 Content-Security-Policy header?我明白这听起来有多么荒谬,而且我可能对 CSP 有一些不了解的地方。
有人可以帮助我了解这里发生的事情吗?
大多数机器得到的是什么:
Content-Security-Policy:default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'self'
这台机器得到的是什么:
Content-Security-Policy:default-src 'self';
尤里卡!我有答案了。
ESET 似乎正在检查和修改请求中的 headers。你可以切换这个 off quite easily.