我正在使用Content-Security-Policy-Report-Only
首先测试“ Content-Security-Policy”标头的实现,并查看将被阻止的内容。
如果我允许此域(通配符-script-src
),我不知道为什么在https://ssl.google-analytics.com
域上违反了指令https://*.google-analytics.com
,并且在大多数情况下都没有问题。但是当"referrer": "https://www.google.com/"
时有报告:
{
"csp-report": {
"blocked-uri": "https://ssl.google-analytics.com/ga.js",
"document-uri": "https://www.example.com/path/to/page",
"original-policy": "...; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.google.com https://*.google-analytics.com https://*.googleapis.com https://*.gstatic.com https://*.youtube.com https://*.infogram.com https://*.doubleclick.net; report-uri https://www.example.com/report=csp",
"referrer": "https://www.google.com/",
"violated-directive": "script-src"
}
}
也许值得一提的是,我在report-uri
指令中使用了相对路径,但“某人”将其替换为绝对路径。另外,在手动输入此端点或没有referrer
作为 google 的情况下,我也没有看到问题。