Скажем, у меня есть расширение chrome, которое добавляет заголовки, чтобы блокировать и сообщать о межсайтовых скриптах. Когда я пытаюсь создать два заголовка политики безопасности контента, один из них будет только отчет, оба, похоже, не работают. Только тот или другой. Это ошибка в хроме? Спецификация ясно, что они не должны мешать друг другу.CSP блокировать и сообщать только заголовки
Я выдвигаю гипотезу, что может быть специальный случай для директивы sandbox, что если я разбиваю его на его составляющие, это может сработать. Еще одно возможное решение может заключаться в переключении порядка, но все же в этом случае работает только один. В противном случае в худшем случае возникает ошибка в хроме, предотвращающая нормальную работу как Content-Security-Policy-Report-Only, так и Content-Security-Policy.
Вот заголовки, я добавляю:
var csp1 = {
'name': 'Content-Security-Policy-Report-Only',
'value': "sandbox; report-uri http://localhost/csp"
}
headers.push(csp1);
var csp2 = {
'name': 'Content-Security-Policy',
'value': "default-src 'none'; report-uri http://localhost/csp"
}
headers.push(csp2);
Я попытался найти в кодовую хрома без очевидного решения, и я надеюсь, что это то, что кто-то столкнулся, прежде чем и может помочь мне.
Любые хром-разработчики, которые могут ответить на этот вопрос?
EDIT: Я только что нашел этот https://bugs.chromium.org/p/chromium/issues/detail?id=503730
Он говорит, что был действительно ошибка хрома, предотвращая как ПСУ и CsPro работать вместе, и что она была установлена. Но это все еще не работает для меня.
Нет ошибок в фоновом режиме консоли? Попробуйте [logging] (https://www.chromium.org/for-testers/enable-logging) или хром: // трассировка. Кроме того, возможно, это работает только при использовании https report URL. – wOxxOm
Проблема заключается в директиве 'sandbox'. См. Https://bugs.chromium.org/p/chromium/issues/detail?id=594645 –