Игнорировать конкретную ошибку CSP при использовании часового

Question

Я использую на своем хеше script-src CSP (v2) вместе с report-uri Sentry на моем сайте.

В последнее время я получаю много отчетов о нарушениях CSP, в частности, из последней версии Firefox (версия 66 на момент написания), создающих много шума.

Recently Blocked 'script' from 'inline:'

Тестируя с установкой Firefox на моем собственном компьютере, я обнаружил, что многие дополнения фактически внедряют встроенный скрипт в DOM, вызывая ошибку CSP.

Можно игнорировать / смягчить эту проблему с помощью правила CSP, или я могу как-то игнорировать все эти записи firefox через настройки sdk или dashboard?

Answer 1

Я получил ответ от службы поддержки Sentry:

"Вы можете игнорировать их, зайдя в настройки вашего проекта, затем Security Headers > CSP Instructions > 'Additional ignored sources' и вставив значение blocked_uri из отчета CSP события."

В этом случае значение blocked_uri будет inline. Обратите внимание, что он будет игнорировать все отчеты inline, не только из Firefox, но и этого достаточно для моей проблемы.

Answer 2

Вы можете указать 'unsafe-inline' в качестве источника, хотя это значительно ослабляет безопасность, предлагаемую CSP.(Если вам нужно использовать unsafe-inline, я считаю, что вы НЕ должны использовать хеш, поскольку хеш заменяет директиву inline.)