Я реализую Content security policy в заголовки моего сайта. У меня сейчас это на report-only настройка для тестирования. Мой сервер Apache 2.4.7.
После настройки некоторых политик я продолжаю видеть такие отчеты:
"csp-report": {
"document-uri": "http://www.example.com/page.html",
"referrer": "",
"violated-directive": "script-src 'self' http://www.google-analytics.com",
"effective-directive": "script-src",
"original-policy": "default-src 'self'; img-src *; report-uri https://example.com/report",
"blocked-uri": "about",
"status-code": 200
}
Я не знаю, как устранить неполадки в этих отчетах. Page.html содержит статический HTML и Google analytics script. Что такое ури about что блокируется?
Я прочитал документацию по политике безопасности контента, но не нашел ничего, что могло бы это объяснить.
Я не могу воспроизвести ошибку, обратившись к тому же URL-адресу с тем же типом браузера.
После дальнейшего поиска я смог найти это сообщение о переполнении стека о той же проблеме: https://stackoverflow.com/questions/32336860/why-would-i-get-a-csp-violation-for-the-blocked-uri-about
Оказывается, это может быть вызвано аддоном браузера, который блокирует URL-адреса, заменяя их на about:blank.