有时候,我在收集到的报告中观察到CSP违反了frame-src的行为,这些报告具有空的uri-uri属性。用户代理指示违反行为是在Windows 10的Chrome 75中触发的。
该策略主要类似于 default-src'self''unsafe-eval'; frame-src https:
我没有成功重现这种类型的违规行为,也没有关于阻止/丢失功能的任何投诉。 知道造成这些违规的原因是什么吗?
答案 0 :(得分:0)
反复尝试后:当框架页面在内部导航到父级策略不允许的域时,会触发此类违规。出于安全考虑,在这种情况下,可以将blocked-URI字段留空,否则目标域将被公开给框架页面的所有者。