0
クロスサイトスクリプティングをブロックして報告するヘッダーを追加するChrome拡張機能があります。 2つのContent Security Policyヘッダーを作成しようとすると、1つはレポートのみであり、どちらも機能していないようです。どちらか一方のみ。これはクロムのバグですか?仕様は、互いに干渉してはならないことは明らかです。CSPブロックとレポートのみのヘッダー
私は、指示文の特別な場合があると仮定します。その構成要素に分解しても機能する場合があります。別の可能な解決策は、注文を切り替えることができますが、その場合でも1つだけが機能します。それ以外の場合、クロムにバグがあり、Content-Security-Policy-Report-OnlyとContent-Security-Policyの両方が正常に動作しないことがあります。
は、ここで私が追加しているヘッダです:
var csp1 = {
'name': 'Content-Security-Policy-Report-Only',
'value': "sandbox; report-uri http://localhost/csp"
}
headers.push(csp1);
var csp2 = {
'name': 'Content-Security-Policy',
'value': "default-src 'none'; report-uri http://localhost/csp"
}
headers.push(csp2);
はノー明白な解決策とクロムのコードベースを検索しようとした私は、これは何かの誰かが前に実行されたと私を助けることができている願っています。
この質問に答えられるクロム開発者はいますか?
編集:私はちょうどそれが一緒に働いてからCSPとCSPROの両方を防止クロムのバグは確かで、それが固定されたことを述べている。このhttps://bugs.chromium.org/p/chromium/issues/detail?id=503730
を見つけました。まだそれは私のために働いていません。
背景コンソールでエラーなし? [ログ](https://www.chromium.org/for-testers/enable-logging)またはchrome:// tracingを試してください。また、httpsレポートURLが使用されている場合にのみ動作する可能性があります。 – wOxxOm
問題は 'sandbox'指示文にあります。 https://bugs.chromium.org/p/chromium/issues/detail?id=594645を参照してください。 –