Мое приложение обращается прокси Nginx.Компромиссный хром? Модифицированная политика защиты контента
Я установил Nginx для добавления заголовка Content-Security-Policy в ответ. Это работает отлично, и я вижу заголовок, возвращенный из Chrome, а также CURL с нескольких машин.
С определенной машины я вижу что-то очень странное. Chrome показывает только небольшую часть заголовка Content-Security-Policy, который был возвращен в ответ, оставив ряд ключевых политик. При использовании другого браузера на том же компьютере все заголовки возвращаются.
Извините, если это глупый вопрос, но может быть, что бинарное или что-то еще в Chrome было изменено и изменяет заголовок Content-Security-Policy? Я понимаю, насколько это смешно, и может быть что-то, что я не понимаю о CSP.
Не могли бы вы помочь мне понять, что здесь происходит?
что большинство машин получают:
Content-Security-Policy:default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'self'
Что это один конкретный машина получает:
Content-Security-Policy:default-src 'self';