“仅内容安全策略报告”标头将列入白名单的域报告

时间:2019-06-12 06:10:41

标签: http-headers content-security-policy

我正在使用Content-Security-Policy-Report-Only首先测试“ Content-Security-Policy”标头的实现,并查看将被阻止的内容。

如果我允许此域(通配符-script-src),我不知道为什么在https://ssl.google-analytics.com域上违反了指令https://*.google-analytics.com,并且在大多数情况下都没有问题。但是当"referrer": "https://www.google.com/"时有报告:

{
  "csp-report": {
    "blocked-uri": "https://ssl.google-analytics.com/ga.js",
    "document-uri": "https://www.example.com/path/to/page",
    "original-policy": "...; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.google.com https://*.google-analytics.com https://*.googleapis.com https://*.gstatic.com https://*.youtube.com https://*.infogram.com https://*.doubleclick.net; report-uri https://www.example.com/report=csp",
    "referrer": "https://www.google.com/",
    "violated-directive": "script-src"
  }
}

也许值得一提的是,我在report-uri指令中使用了相对路径,但“某人”将其替换为绝对路径。另外,在手动输入此端点或没有referrer作为 google 的情况下,我也没有看到问题。

0 个答案:

没有答案