好奇(并且难以诊断)问题。我已经在我的网站上添加了一个CSP,它运行得很好,有一个错误似乎只出现在Firefox上(猜测它是一个Mozilla CSP实现异常)。但是,我不确定如何在这一点上更深入地进行诊断。它似乎没有阻碍任何功能 - 一切似乎都有效,但我看到Firefox上的错误弹出(它的报告非常垃圾,我可以用其他方式处理,但宁愿根本原因和处理)。 / p>
这是错误(几乎出现在网站的每一页上):
Content Security Policy: The page’s settings blocked the loading of a resource
at self (“script-src https://code.jquery.com/”). Source: ;(function
installGlobalHook(window) { ....
我通常通过CDN加载jQuery,并且在加载和运行时没有任何问题,虽然我也尝试下载jQuery并在内部加载(这也很好)。
完整的CSP是:
Content-Security-Policy:
default-src 'self';
base-uri 'self';
script-src 'self' https://code.jquery.com/;
form-action 'self';
font-src 'self' https://fonts.googleapis.com/ https://fonts.gstatic.com/;
style-src 'self' https://fonts.googleapis.com/
https://code.jquery.com/
'sha256N90MKmRow2DpYEVeqcc3uc8pOUsS4Rg4sNmkau1k0xQ='
'sha256-i1EfB2+xYUUG32uDRMNI/DN/F9YIrGWOYdHENz9GKME='
'sha256-75seZ0liXI7HbegtdV/WH+/9QQJ0CrDacBOViVFXckc='
'sha256-2KAnfZnKiF2um1+UfXP14UfR93HoXmam2Y1ipeMWRUI=';
frame-ancestors 'self';
report-uri /csp/csp-report
刚刚重新验证,只看到Firefox上的错误。我已经审核了其他相关问题,但似乎没有直接解决此问题(例如:CSP Violation Detected in Firefox OS validator)。
另外,我注意到错误在页面GET之后立即出现在控制台中,但在所有资源GET之前(对于脚本,css文件等),所以我想知道(甚至更多)如果它可能是CSP的FF错误......?
关于如何从这一点开始的任何想法或建议都会非常有帮助 - 我已经摆脱了线索。谢谢!
**更新** - Ug。它绝对是React DevTools Firefox扩展。禁用扩展程序,CSP违规将消失。此外,因为这是扩展本身的一个组件,所以无法将React DevTools与FireFox + CSP一起使用(实际上打开了任何级别的安全性)。 Blagh。
答案 0 :(得分:4)
以相对次优的方式解决了这个问题(恕我直言)。
Firefox显然不是CSP"默认-src"的忠实粉丝。属性设置为' self',就像我在配置中一样。更改" default-src"指向我的实际主机来源(dev The puzzle has two legal moves(i.e. actions) with associated costs:
• A title may move into an adjacent empty location. – This has a step cost of
• A title can hop over one or two other tiles into the empty position.
– This has a step cost equal to the number of tiles jumped over.
和prod的实际域'localhost'),'https://*.foobar.com'的CSP违规停止。
仅供参考,以防其他人遇到此错误...