В настоящее время мы вводим политику безопасности контента на веб-сайт. Начните с вставки заголовка Content-Security-Policy-Report-Only
, чтобы получить обратную связь о воздействии. Вскоре мы узнали, что плагин Evernote Web Clipper в браузере Safari нарушает директивы CSP, поскольку он, кажется, вводит какой-то код на страницу.Evernote Web Clipper и политика безопасности содержимого
Мы получаем это в отчете НСП:
{"csp-report":
{
"document-uri":"http://example.com/index.html",
"violated-directive":"default-src 'self'",
"original-policy":"default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; report-uri http://example.com/report.html",
"blocked-uri":"safari-extension://com.evernote.safari.clipper-uahs7eh2ja",
"source-file":"http://example.com/js/jquery.js",
"line-number":2
}
}
Как нам нужно изменить заголовок CSP, так что плагин Evernote Web Clipper не заблокирован? blocked-uri
, похоже, содержит идентификатор пользователя в конце, что делает его довольно сложным.