CSP 报告了 Google 种字体 (Open Sans),但并未使用
CSP reports about Google Fonts (Open Sans), though it’s not used
最近我为我的网络应用程序启用了内容安全策略。根据我自己在 Safari 和 Chrome 中的测试,一切正常。我正在使用 report-uri.com 来获取错误报告。
到目前为止,我收到的唯一报告是 Chrome 浏览器对 Google Open Sans 字体的请求被阻止。但是,我们在这个项目中根本不使用 Google 字体或 Open Sans。我在整个源代码(包括库)中搜索了相关术语,确认我们没有对 Google 字体或 Open Sans 做任何事情。
报告中没有包含有用的信息来查找对 Google 字体的请求是从哪里发出的,所以我不知道该去哪里找了。因为报告只在一天中的某些时间出现,但我们的应用程序一整天都被许多用户使用,我怀疑它只是一个用户。可能是某种浏览器扩展造成的?
有谁知道这些请求是如何产生的?我想确保它不是我们这边的东西。
制作不当的浏览器扩展可能试图以不符合犹太教规的方式加载内容。我自己没有经历过,但至少有 one article 讨论如何从扩展开发人员的角度避免这种现象。不幸的是,如果不找到有问题的实际用户并询问他们或从他们的机器上进行测试,基本上就无法确定。
也有可能接管浏览器的用户端恶意软件可以像浏览器扩展一样在您的页面上加载外部元素;不过,他们不太可能只加载 Open Sans 而不加载其他任何东西。
像往常一样,一定要在各种配置和浏览器中测试您的网站(我最喜欢的是 Chrome 和 Firefox 中的隐身模式,以确保我的 cache/service 员工没有欺骗我)。我会说,如果您没有发现任何问题,那很可能实际上是用户方面的问题。
最近我为我的网络应用程序启用了内容安全策略。根据我自己在 Safari 和 Chrome 中的测试,一切正常。我正在使用 report-uri.com 来获取错误报告。
到目前为止,我收到的唯一报告是 Chrome 浏览器对 Google Open Sans 字体的请求被阻止。但是,我们在这个项目中根本不使用 Google 字体或 Open Sans。我在整个源代码(包括库)中搜索了相关术语,确认我们没有对 Google 字体或 Open Sans 做任何事情。
报告中没有包含有用的信息来查找对 Google 字体的请求是从哪里发出的,所以我不知道该去哪里找了。因为报告只在一天中的某些时间出现,但我们的应用程序一整天都被许多用户使用,我怀疑它只是一个用户。可能是某种浏览器扩展造成的?
有谁知道这些请求是如何产生的?我想确保它不是我们这边的东西。
制作不当的浏览器扩展可能试图以不符合犹太教规的方式加载内容。我自己没有经历过,但至少有 one article 讨论如何从扩展开发人员的角度避免这种现象。不幸的是,如果不找到有问题的实际用户并询问他们或从他们的机器上进行测试,基本上就无法确定。
也有可能接管浏览器的用户端恶意软件可以像浏览器扩展一样在您的页面上加载外部元素;不过,他们不太可能只加载 Open Sans 而不加载其他任何东西。
像往常一样,一定要在各种配置和浏览器中测试您的网站(我最喜欢的是 Chrome 和 Firefox 中的隐身模式,以确保我的 cache/service 员工没有欺骗我)。我会说,如果您没有发现任何问题,那很可能实际上是用户方面的问题。