Как сделать HTML5 <video>совместимым с CSP (Google Chrome)? - PullRequest
Новая
       15

Как сделать HTML5 <video>совместимым с CSP (Google Chrome)?

0 голосов
/ 10 января 2019

Я использую на своем веб-сайте элемент видео HTML5 и строгую директиву Content-Security-Policy (default-src 'self'). Я получаю это сообщение об ошибке в консоли Google Chrome при первой загрузке страницы с элементом видео: 

[Report Only] Refused to load the image '<URL>' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

[Report Only] Refused to load the image 'data:image/svg+xml;base64,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' because it violates the following Content Security Policy directive: "default-src 'self'". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

Всего имеется 9 данных: изображение нарушает директиву CSP. Эти данные: изображение используются для управления элементом видео. Если они заблокированы, невозможно использовать элемент видео.

Мне известно о возможности использовать "img-src 'self' data :;" директивы, но я бы хотел избежать этого решения, поскольку оно уменьшает защиту, которую я мог бы получить от строгих директив CSP.

Я заметил, что видеоэлемент HTML5 не нарушает директиву CSP при использовании Edge или Firefox.

Возможно ли исправить эту проблему? Спасибо. 

Header always set Content-Security-Policy-Report-Only "default-src 'self'; report-uri https://..."

<video width="560" height="315" src="/mp4/youtube-trailer.mp4" poster="/img/video/youtube-trailer.jpg" preload="none" controls></video>

1 Ответ

0 голосов
/ 11 января 2019

Да, это ошибка браузера. Я смог воспроизвести это: https://github.com/nico3333fr/CSP-useful/issues/75

Сообщение об ошибке: https://bugs.chromium.org/p/chromium/issues/detail?id=921027

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...