我正在使用基于哈希的script-src CSP(v2),以及我网站中的Sentry的report-uri。
最近,我收到大量CSP违规报告,特别是最新版本的Firefox(撰写本文时为66版),从而产生了很多噪音。
Recently Blocked 'script' from 'inline:'
在我自己的计算机上使用firefox安装进行测试时,我发现许多插件实际上将内联脚本注入DOM,从而触发了CSP错误。
可以通过CSP规则忽略/缓解此问题,还是可以通过sdk或仪表板设置以某种方式忽略所有这些firefox条目?
答案 0 :(得分:0)
您可以允许'unsafe-inline'作为来源,尽管这样做会大大削弱CSP提供的安全性。 (如果您需要使用unsafe-inline,我相信您不必使用哈希,因为哈希会取代'inline'指令。)
答案 1 :(得分:0)
我收到了Sentry客户服务的答复:
“您可以通过进入项目的设置,然后进入Security Headers > CSP Instructions > 'Additional ignored sources',然后从事件的CSP报告中粘贴blocked_uri值来忽略这些。”
在这种情况下,blocked_uri的值为inline。请注意,它不仅会忽略来自firefox的所有inline报告,而且足以解决我的问题。