Evernote Web Clipper и политика безопасности содержимого

Question

В настоящее время мы вводим политику безопасности контента на веб-сайт. Начните с вставки заголовка Content-Security-Policy-Report-Only, чтобы получить обратную связь о воздействии. Вскоре мы узнали, что плагин Evernote Web Clipper в браузере Safari нарушает директивы CSP, поскольку он, кажется, вводит какой-то код на страницу.

Мы получаем это в отчете НСП:

{"csp-report": 
    { 
     "document-uri":"http://example.com/index.html", 
     "violated-directive":"default-src 'self'", 
     "original-policy":"default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; report-uri http://example.com/report.html", 
     "blocked-uri":"safari-extension://com.evernote.safari.clipper-uahs7eh2ja", 
     "source-file":"http://example.com/js/jquery.js", 
     "line-number":2 
    } 
} 

Как нам нужно изменить заголовок CSP, так что плагин Evernote Web Clipper не заблокирован? blocked-uri, похоже, содержит идентификатор пользователя в конце, что делает его довольно сложным.

Answer 1

Вы правы, последний бит заблокированного uri варьируется на разных компьютерах, и вы не можете использовать подстановочный знак для белого списка. Единственный способ, чтобы разблокировать Web Clipper, чтобы разблокировать все расширения Safari, поставив safari-extension://* в default-src, так что ваша политика будет выглядеть

 
default-src 'self' safari-extension://*; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; report-uri http://example.com/report.html