Зачем мне получать предупреждение CSP, где protected-uri - пустая строка?

Question

Я использую ПЕС на моем локальном сервере, а так же, как обычные сообщения CSP, видел это:

{ 
    "csp-report": { 
    "document-uri": "https://localhost:3000/", 
    "referrer": "", 
    "violated-directive": "script-src 'self' 'unsafe-eval' cdn.mxpnl.com js.stripe.com platform.twitter.com syndication.twitter.com use.typekit.net", 
    "effective-directive": "script-src", 
    "original-policy": veryLongPOlicyGoesHere, 
    "blocked-uri": "", 
    "source-file": "https://platform.twitter.com", 
    "line-number": 2, 
    "column-number": 28911, 
    "status-code": 0 
    } 
} 

Почему blocked-uri"""? Что вызывает это предупреждение CSP?

Answer 1

Хотя это не может быть легко разобрать, вы можете найти информацию о том типе отчета в «отпечатков пальцев» проекта НСП я баллотировался на некоторое время: https://gist.github.com/oreoshake/29edbf9aae8125f05b66

Пустые blocked-uri s указывают инлайн скрипт/нарушение стиля , вызов eval или обработчик события inline/javascript: href. Ваш violated-directive разрешает eval.

Если вы можете вызвать ту же ошибку в браузере Firefox, вы можете проверить поле script-sample. Он может содержать содержимое встроенного скрипта или может указывать на срабатывание обработчика события, или он будет включать в себя сообщение «eval».

Очень большое количество непредвиденных отчетов в этом формате исходит от расширений браузера, а именно от последнего.