У меня есть CSP с режимом Content-Security-Policy-Report-Only и report-uri. У меня есть встроенный JavaScript, который запрещает CSP. Насколько я понимаю, JavaScript по-прежнему будет разрешено запускать в режиме только для отчетов, но о нем будет сообщено по ссылке report-uri. Он действительно документируется в ссылке report-uri, но он также останавливает загрузку страницы со следующей ошибкой на консоли Chrome: « [Только отчет] Отказано в выполнении встроенного скрипта, поскольку он нарушает следующие правила безопасности содержимого Директива политики: "script-sr c 'self'".". Почему CSP принудительно используется в режиме «Только отчет»? Спасибо