为什么这是CSP违规?阻止-uri =自我' self'是明确允许的

时间:2016-02-19 16:30:54

标签: content-security-policy

我无法理解下面的CSP违规报告(由FireFox 44.0.2 / Ubuntu发送)。这里真正被阻止的是什么?为什么? 应该注意的是,如果我将'self'或(在报告中自动翻译)https://www.example.com写入CSP标头并不重要。 此外,我不知道渲染页面中缺少任何内容。 那我该怎么办呢? (显然,如果每个页面都触发虚假违规报告,我不应该在我的实际网站中添加报告)

{
    "csp-report":{
        "blocked-uri":"self",
        "document-uri":"https://www.example.com/foo/bar/baz.html",
        "original-policy":"report-uri https://reportserver.example.com/ContentSecurityPolicy-report.php; 
            default-src https://www.example.com; 
            style-src https://example.com https://www.example.com https://fonts.googleapis.com; 
            script-src https://www.example.com https://code.jquery.com https://ajax.googleapis.com; 
            font-src https://fonts.gstatic.com",
        "referrer":"https://www.example.com/foo/bar/wtf.html",
        "source-file":"https://www.example.com/foo/bar/baz.html",
        "violated-directive":"style-src https://example.com https://www.example.com https://fonts.googleapis.com"
    }
}

1 个答案:

答案 0 :(得分:3)

将您的政策设置为:

default-src 'self'; style-src example.com www.example.com 'self' https://fonts.googleapis.com 'unsafe-inline'; script-src 'self' https://code.jquery.com https://ajax.googleapis.com; font-src https://fonts.gstatic.com 'self';

我没有看到任何违规行为。我添加了“不安全 - 内联”#39;设计src,以及' self'到font-src。

相关问题
最新问题