我正在将其实现Content security policy到我的网站标头中。我目前已将其report-only设置为测试。我的服务器是Apache 2.4.7。
制定一些政策后,我不断看到这样的报告:
"csp-report": {
"document-uri": "http://www.example.com/page.html",
"referrer": "",
"violated-directive": "script-src 'self' http://www.google-analytics.com",
"effective-directive": "script-src",
"original-policy": "default-src 'self'; img-src *; report-uri https://example.com/report",
"blocked-uri": "about",
"status-code": 200
}
我不知道如何解决这些报告的问题。Page.html包含静态 html 和。被阻止的Google analytics scripturi 到底是什么?about
我已经阅读了内容安全政策文档,但找不到任何可以解释这一点的内容。
我无法通过使用相同类型的浏览器访问相同的 URL 来重现该错误。
答案1
经过进一步搜索,我找到了有关同一问题的 Stack Overflow 帖子:https://stackoverflow.com/questions/32336860/why-would-i-get-a-csp-violation-for-the-blocked-uri-about
事实证明,这可能是由浏览器插件引起的,该插件通过将 URL 替换为 来阻止 URL about:blank。