Я не могу понять приведенный ниже отчет о нарушении CSP (отправленный FireFox 44.0.2 / Ubuntu). Что на самом деле здесь блокируется и почему? Следует отметить, что не имеет значения, пишу ли я 'self'
или (как автоматически переводится в отчете) https://www.example.com
в заголовок CSP. Кроме того, я не знаю, чего не хватает на отображаемой странице. Так что я могу сделать против него? (Очевидно, мне не следует добавлять отчеты на мой живой сайт, если каждая страница вызывает поддельный отчет о нарушении)
{
"csp-report":{
"blocked-uri":"self",
"document-uri":"https://www.example.com/foo/bar/baz.html",
"original-policy":"report-uri https://reportserver.example.com/ContentSecurityPolicy-report.php;
default-src https://www.example.com;
style-src https://example.com https://www.example.com https://fonts.googleapis.com;
script-src https://www.example.com https://code.jquery.com https://ajax.googleapis.com;
font-src https://fonts.gstatic.com",
"referrer":"https://www.example.com/foo/bar/wtf.html",
"source-file":"https://www.example.com/foo/bar/baz.html",
"violated-directive":"style-src https://example.com https://www.example.com https://fonts.googleapis.com"
}
}
https://www.redeker.de/
. Между тем я несколько подозреваю, что то, что заблокировано, может быть скорее стилем'unsafe-inline'
, т. е.style="..."
, добавленным к тегам, но это не видно в исходном коде html, потому что оно добавляется для каждого сценария позже (где сам сценарий разрешен для CSP). Но я был бы рад, если бы вы могли подтвердить это подозрение. - person Hagen von Eitzen   schedule 20.02.2016