通过我的CSP违规报告,我发现form-action的{{1}}是blocked-uri。
{ “ csp-report”:{ “ document-uri”:“ XXX”, “ viodirect-directive”:“ form-action * .XXX.com”, “有效指令”:“形式动作”, “原始策略”:“ XXX”, “ blocked-uri”:“数据” }
还有一个:
{ “ csp-report”:{ “ document-uri”:“ XXX”, “有效指令”:“形式动作”, “原始策略”:“ XXX 形式动作* .XXX.com; XXX”, “ blocked-uri”:“数据” }
(相关信息替换为“ XXX”)。
这些违规行为似乎来自Android上的Chrome和Android上的Opera。有什么想法吗? (而且不,我们没有在data标签上将action设置为data:XXX。)