У меня возникают проблемы с выяснением, почему CSP применяется к странице, когда проверка запроса / ответа не показывает отправку заголовка Content-Security-Policy (см. Скриншот).
Приложение - Jenkinsэкземпляр, обслуживающий некоторый статический HTML-контент, сгенерированный заданием, и ранее у него были ослаблены ограничения, как описано здесь: https://wiki.jenkins.io/display/JENKINS/Configuring+Content+Security+Policy. Это исправило оригинальные экземпляры статического контента, не отображаемые из-за ограничений CSP.Однако теперь оно вернулось в другое место, и исходное решение неэффективно (по понятным причинам, поскольку заголовок для изменения отсутствует).На всякий случай я проверил, что пользовательское значение CSP все еще установлено внутри Jenkins.Проблема возникает во всех Firefox 64, Chromium 71 и Chrome 55.
Как я могу выяснить, откуда происходит CSP?Браузеры начали применять его по умолчанию сейчас?Я думал, что весь смысл CSP был в том, что он был подписан и понижен до политики того же происхождения, если таковой отсутствует.
РЕДАКТИРОВАТЬ: В источнике тоже нет <meta http-equiv="content-security-policy">.
