Я нахожусь в процессе дальнейшей блокировки нашего CSP и применения подхода, основанного на одноразовом использовании CSP3. Все отлично работает во всех браузерах, кроме Safari:
Пример встроенного скрипта с одноразовым номером и следующим CSP (обрезан для удаления некоторых разрешенных нами URL-адресов - я также проверил совпадения с одноразовыми номерами):
content-security-policy-report-only: script-src 'self' 'unsafe-inline' https: 'strict-dynamic' 'nonce-xxxx'; upgrade-insecure-requests; default-src 'self' gap: blob:; style-src 'self' 'unsafe-inline'; base-uri 'none'; report-uri https://xxx.report-uri.com/r/d/csp/reportOnly
Ошибка Safari:
Я тестирую Safari 11 на OSx, но в соответствии с нашими отчетами о тестировании в Safari 12 эта проблема присутствует.
Любая помощь приветствуется.