Политика безопасности содержимого — определение источника заблокированного ресурса

#firefox #web-config #content-security-policy

#firefox #web-config #политика безопасности содержимого

Вопрос:

В Firefox я получаю следующую ошибку:

 Content Security Policy: The page’s settings blocked the loading of a resource at data: (“media-src”).
 

Я не уверен, почему я получу эту ошибку, поскольку у меня нет тегов видео или аудио.

 <add name="Content-Security-Policy" value="default-src 'self'; connect-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; media-src 'self'; object-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';"/>
 

Как вы можете найти источник заблокированного ресурса в Firefox?

Есть идеи, почему это может произойти, когда на сайте нет внешних ресурсов?


РЕШЕНИЕ

Мне нужно было включить data: атрибут.

media-src 'self' data:;

Ответ №1:

Основные способы отладки CSP:

  1. Отчеты о нарушениях ( report-uri директива) могут содержать полную информацию.
  2. Консоль Chrome более информативна, чем Firefoxes. Chrome показывает заблокированный URL в консоли (Firefox — тоже в некоторых случаях).
  3. SecurityPolicyViolationEvent предоставляет ту же информацию, что и отчеты о нарушениях (если вы знакомы с JavaScript).


Подробная информация о том, как отлаживать CSP.