Я новичок в этом уровне управления веб-сайтом, и я создаю CSP для своего веб-сайта, и у меня возникают некоторые проблемы с пониманием обратной связи, которую я получаю из своих отчетов CSP.
Я использую Node.JSна сервере Windows 2016Мой CSP настроен только на отчет, и я устранил многие проблемы, которые я вижу в отчете CSP. Однако есть несколько ошибок, которые я просто не понимаю.
Например:
10-06-2019 09:25:08 warn: CSP header violation: {
"csp-report": {
"document-uri": "https://www.keysso.net/arrests",
"referrer": "",
"violated-directive": "script-src 'self' 'unsafe-eval' 'report-sample' 'nonce-48e3626748aae892250c18a14000da7b74ec051f' 'sha256-P9mpqgbQw6YBh3UelSyhf446LYvFurQhjYSUs+0it+k=' 'sha256-EEdWCzJKB6GyF7picc2WLI71WA4sgKJIsPVERDEWM9k=' 'sha256-j/lIJ9aqoFSy0cXwOMLliJaO/y8yWUtg2oAA7ppzFxw=' assorted whitlist links,
"original-policy": "default-src 'self';connect-src 'self' assorted whitlist links;
img-src 'self' data:assorted whitlist links;
font-src 'self' data: assorted whitlist links;
frame-src 'self' assorted whitlist links;
style-src 'self' 'unsafe-inline' assorted whitlist links;
script-src 'self' 'unsafe-eval' 'report-sample' 'nonce-48e3626748aae892250c18a14000da7b74ec051f' 'sha256-P9mpqgbQw6YBh3UelSyhf446LYvFurQhjYSUs+0it+k=' 'sha256-EEdWCzJKB6GyF7picc2WLI71WA4sgKJIsPVERDEWM9k=' 'sha256-j/lIJ9aqoFSy0cXwOMLliJaO/y8yWUtg2oAA7ppzFxw=' assorted whitlist links; script-src-attr 'self' 'report-sample' 'unsafe-inline' assorted whitlist links;
object-src 'none';
base-uri 'self';
report-uri /csp/report",
"blocked-uri": ""
}
}
Также:
10-06-2019 10:04:46 warn: CSP header violation: {
"csp-report": {
"document-uri": "https://keysso.net/searchResults?q=Weiden",
"referrer": "https://keysso.net/arrests",
"violated-directive": "script-src 'self' 'unsafe-eval' 'report-sample' 'nonce-48e3626748aae892250c18a14000da7b74ec051f' 'sha256-P9mpqgbQw6YBh3UelSyhf446LYvFurQhjYSUs+0it+k=' 'sha256-EEdWCzJKB6GyF7picc2WLI71WA4sgKJIsPVERDEWM9k=' 'sha256-j/lIJ9aqoFSy0cXwOMLliJaO/y8yWUtg2oAA7ppzFxw='
assorted whitlist links,
"effective-directive": "script-src",
"original-policy": "default-src 'self';connect-src 'self' assorted whitlist links;
font-src 'self' data: assorted whitlist links;
frame-src 'self' assorted whitlist links;
style-src 'self' 'unsafe-inline' assorted whitlist links;
script-src 'self' 'unsafe-eval' 'report-sample' 'nonce-48e3626748aae892250c18a14000da7b74ec051f' 'sha256-P9mpqgbQw6YBh3UelSyhf446LYvFurQhjYSUs+0it+k=' 'sha256-EEdWCzJKB6GyF7picc2WLI71WA4sgKJIsPVERDEWM9k=' 'sha256-j/lIJ9aqoFSy0cXwOMLliJaO/y8yWUtg2oAA7ppzFxw=' assorted whitlist links; script-src-attr 'self' 'report-sample' 'unsafe-inline' assorted whitlist links;
object-src 'none'; base-uri 'self';
report-uri /csp/report",
"blocked-uri": "",
"status-code": 0
}
}
Вы заметите заблокированные-ури пуст. В некоторых случаях реферер пуст. Насколько я могу судить, это страница на моем собственном сайте, ссылающаяся на другую страницу на моем сайте. Разве это не охватывается атрибутом «self» во всех директивах?
Если бы кто-то мог пролить свет, я был бы признателен.