URI моего CSP-отчета получил следующее нарушение CSP:
{
"csp-report":{
"document-uri":"https://example.com/blog/somepage",
"referrer":"",
"violated-directive":"img-src 'self' data: p.typekit.net pbs.twimg.com platform.twitter.com q.stripe.com syndication.twitter.com",
"effective-directive":"img-src",
"original-policy": veryLongPolicyGoesHere,
"blocked-uri":"about",
"status-code":0
}
}
Почему я должен получить нарушение CSP для заблокированного uri 'about'?
Является ли это встроенным URL about: из веб-браузеров? Я не могу воспроизвести проблему, когда пытаюсь.
Я работал с пользователем, чтобы обнаружить, что это действительно расширение Disconnect, которое вызывает это. Я связался с людьми, делающими расширение, и они подтвердили, что они блокируют URI, заменяя их about:blank; это то, что вызывает нарушения CSP.
Пока Disconnect не фиксирует их схему блокировки, я думаю, что лучший подход, чтобы просто игнорировать сообщения о нарушениях при CSP blocked-uri является about.
Я думаю, что, возможно, нашел временный обходной путь (до тех пор, пока не будет исправлено пустое место на странице): добавление about: к нарушенным директивам. Я попытался добавить его в default-src, но все равно получил сообщение о нарушении. Я добавил его в img-src и script-src, и нарушения не обнаружились.