İçerik güvenliği politikası: kaynak veri

Question

Content security policy ayarlıyorum. Test için yalnızca rapor modunda temel kurallar oluşturdum.

Engellediğim komut dosyası için raporlar almaya devam ama kaynak sadece data geçerli:

"csp-report": { 
     "blocked-uri": "data", 
     "document-uri": "http://www.example.com/page.html", 
     "original-policy": "default-src http://www.example.com ... 
     "violated-directive": "script-src 'unsafe-inline' http://www.example.com http://www.google-analytics.com;" 
    } 

Ben bu raporu neden ziyaretçi olarak aynı tarayıcı türü ile aynı sayfaya gitmek bile raporunu yeniden olamaz. CSP belgelerinden, data adlı kaynak hakkında bir şey bulamadım.

sayfa http://www.example.com/page.html esas statik html ama <script> etiketleri arasına Google analytics komut vardır:

<script type="text/javascript"> 
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject'... 
</script> 

aynı senaryo frontpage dahil sitemin diğer sayfalarında kullanılır. Yine de, yalnızcanumaralı sayfa engellenmiş data ile ilgili bu raporları üretir.

Bu uri data bloke oluyor? Sitemden veya ziyaretçinin tarayıcısının yüklemeye çalıştığı harici bir şey mi?

Answer 1

Raporlar hakkında hızlı soru: Bir tarayıcıda mı yoksa tüm tarayıcıda mı oluyorlar?

sadece bir tane tarayıcı ise: blocked-uri: data ile script-src ihlalleri eklentilerden muhtemel gürültü vardır. Javascript'in numaralı veri URL'leri aracılığıyla yüklenmesi, muhtemelen'un sizden gelmeyeceği anlamına gelir.

Tüm tarayıcılarda: Kalıbı kullanmıyorsanız, belki de kitaplığınızdan biri. Google Analytics, kalıbı kullanmaz. Hızlı bir tartışma için https://twitter.com/Scott_Helme/status/710164802925142017 numaralı telefona bakın.

Not: script-src data:'a izin vermek çok tehlikelidir veya en az 'unsafe-inline' kadar tehlikelidir. Kaynak: http://webreflection.blogspot.com/2011/08/simulate-script-injection-via-data-uri.html