#google-chrome #http #content-security-policy #preload #prefetch
#google-chrome #http #контент-безопасность-политика #предварительная загрузка #предварительная выборка
Вопрос:
У меня есть сайт, на котором есть несколько <link rel="preload" href="... тегов на веб-странице, где я также хочу добавить как можно более строгие заголовки CSP, и как часть этого я хочу использовать default-src 'none'
В настоящее время Chrome поддерживает предварительную выборку, но поддерживает только директиву CSP prefetch-src за флагом функции. Таким образом, я могу использовать эту функцию, но не настраивать безопасность вокруг нее, поэтому при текущем default-src 'none' все вызовы предварительной выборки блокируются.
Единственное решение, которое я могу найти, — это перейти default-src 'none' на default-src 'self' , но это, конечно, снизит безопасность, поскольку потенциально не может быть загружено много нежелательных ресурсов.
Кто-нибудь нашел решение этой проблемы?
Комментарии:
1. Пожалуйста, укажите конкретный сценарий, поделившись своими текущими настройками, ожиданиями и проблемами, чтобы было легче отвечать и менее самоуверенно.
2.Похоже, что в настоящее время он
prefetch-srcеще не реализован ни в одном браузере. Об этом сообщают ошибки в Chrome, Safari и Firefox
Ответ №1:
Кажется, это ошибка с Chromium: https://bugs.chromium.org/p/chromium/issues/detail?id=801561
Я тоже сталкиваюсь с этим, и это довольно утомительно. Кажется, единственное решение — установить default-src 'none' и подождать, пока они устранят проблему. Не идеально…