为什么我会因为 blocked-uri 'about' 而违反 CSP?
Why would I get a CSP violation for the blocked-uri 'about'?
我的 CSP 报告 URI 收到了以下 CSP 违规:
{
"csp-report":{
"document-uri":"https://example.com/blog/somepage",
"referrer":"",
"violated-directive":"img-src 'self' data: p.typekit.net pbs.twimg.com platform.twitter.com q.stripe.com syndication.twitter.com",
"effective-directive":"img-src",
"original-policy": veryLongPolicyGoesHere,
"blocked-uri":"about",
"status-code":0
}
}
为什么我的 blocked-uri 'about' 会违反 CSP?
这是网络浏览器内置的 about: URL 吗?我尝试时无法重现问题。
我与用户合作发现确实是 Disconnect 扩展导致了这个问题。我联系了进行扩展的人员,他们确认他们通过将 URI 替换为 about:blank 来阻止 URI;这就是导致 CSP 违规的原因。
在 Disconnect 修复他们的阻塞方案之前,我认为最好的方法是在 blocked-uri 是 about 时简单地忽略 CSP 违规报告。
我想我可能找到了一个临时的解决方法(直到修复页面上 about:blank 的任何原因):将 about: 添加到违反的指令中。我尝试将其添加到 default-src,但我仍然收到违规报告。我把它添加到img-src和script-src,违规没有出现。
我的 CSP 报告 URI 收到了以下 CSP 违规:
{
"csp-report":{
"document-uri":"https://example.com/blog/somepage",
"referrer":"",
"violated-directive":"img-src 'self' data: p.typekit.net pbs.twimg.com platform.twitter.com q.stripe.com syndication.twitter.com",
"effective-directive":"img-src",
"original-policy": veryLongPolicyGoesHere,
"blocked-uri":"about",
"status-code":0
}
}
为什么我的 blocked-uri 'about' 会违反 CSP?
这是网络浏览器内置的 about: URL 吗?我尝试时无法重现问题。
我与用户合作发现确实是 Disconnect 扩展导致了这个问题。我联系了进行扩展的人员,他们确认他们通过将 URI 替换为 about:blank 来阻止 URI;这就是导致 CSP 违规的原因。
在 Disconnect 修复他们的阻塞方案之前,我认为最好的方法是在 blocked-uri 是 about 时简单地忽略 CSP 违规报告。
我想我可能找到了一个临时的解决方法(直到修复页面上 about:blank 的任何原因):将 about: 添加到违反的指令中。我尝试将其添加到 default-src,但我仍然收到违规报告。我把它添加到img-src和script-src,违规没有出现。