Content security policy
ayarlıyorum. Test için yalnızca rapor modunda temel kurallar oluşturdum.İçerik güvenliği politikası: kaynak veri
Engellediğim komut dosyası için raporlar almaya devam ama kaynak sadece data
geçerli:
"csp-report": {
"blocked-uri": "data",
"document-uri": "http://www.example.com/page.html",
"original-policy": "default-src http://www.example.com ...
"violated-directive": "script-src 'unsafe-inline' http://www.example.com http://www.google-analytics.com;"
}
Ben bu raporu neden ziyaretçi olarak aynı tarayıcı türü ile aynı sayfaya gitmek bile raporunu yeniden olamaz. CSP
belgelerinden, data
adlı kaynak hakkında bir şey bulamadım.
sayfa http://www.example.com/page.html
esas statik html ama <script>
etiketleri arasına Google analytics komut vardır:
<script type="text/javascript">
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject'...
</script>
aynı senaryo frontpage dahil sitemin diğer sayfalarında kullanılır. Yine de, yalnızcanumaralı sayfa engellenmiş data
ile ilgili bu raporları üretir.
Bu uri data
bloke oluyor? Sitemden veya ziyaretçinin tarayıcısının yüklemeye çalıştığı harici bir şey mi?
Bunlara da bakın. Şüpheli tarayıcı uzantıları. Gerçekten rahatsız edici, CSP raporlarında çok fazla gürültüye yol açıyor, onların faydalarını işliyor :-( –