我正在实施Content security policy到我的网站标题。 我目前report-only在report-only设置进行testing。 我的服务器是Apache 2.4.7 。
在制定了一些政策后,我继续看到这样的报道:
"csp-report": { "document-uri": "http://www.example.com/page.html", "referrer": "", "violated-directive": "script-src 'self' http://www.google-analytics.com", "effective-directive": "script-src", "original-policy": "default-src 'self'; img-src *; report-uri https://example.com/report", "blocked-uri": "about", "status-code": 200 }
我不知道如何解决这些报告。 Page.html包含静态HTML和Google analytics script 。 about这个被封锁的uri究竟是什么?
我已阅读内容安全策略文档,但找不到任何可以解释这一点的内容。
我不能通过访问相同的浏览器types的url重现错误。
进一步search后,我能够find这个堆栈溢出post相同的问题: https : //stackoverflow.com/questions/32336860/why-would-i-get-a-csp-violation-for-the-blocked-uri -关于
事实certificate,这可能是由浏览器插件引起的,通过将它们replace为about:blank 。