Если родительская страница принадлежит вам, вы можете сделать несколько вещей, чтобы исправить это. Если родительская страница не принадлежит вам, вы ничего не можете сделать, но это предупреждение не повлияет на ваш опыт.
Сначала немного фона:
Что такое CSP?
Политика безопасности контента или CSP - это заголовок, который может установить ваш сервер, который сообщает браузеру принудительный белый список того, какой контент может запускаться на вашей странице, откуда он может появиться и как он может работать. Например, вы можете ограничить, из каких доменов разрешено извлекать JavaScript, может ли JavaScript работать встраиваемо или куда JavaScript может делать вызовы xhr.
CSP может работать в двух режимах: блокировка и отчетность .
В режиме блокировки браузер применяет политику, изложенную в CSP, и применяет эти ограничения к вашей веб-странице. В режиме блокировки вы можете при желании сообщать о любом заблокированном контенте в конечную точку, указанную в директиве report-uri CSP. В режиме отчетности ничего не блокируется, только то, что может быть заблокировано, передается в конечную точку, указанную в директиве report-uri политик.
Ваш конкретный вопрос
Предупреждение браузера говорит о том, что вы работаете в режиме , сообщающем , но вы не указали report-uri, поэтому он не знает, где сообщать о нарушениях. По сути, ваш CSP не делает ничего, кроме потери пропускной способности, потому что он не сообщает и не блокирует обнаруженные проблемы.
Это оставляет вам несколько вариантов:
- Ничего не делать. Ваш CSP не будет предупреждать вас о каких-либо проблемах (кроме сообщений в консоли) и не будет блокировать любой контент.
- Добавьте
report-uri (что-то вроде report-uri: https://example.com/csp_reports) для получения запросов. Даже если вы ничего не получите в этой конечной точке, ваше конкретное предупреждение консоли исчезнет (вы все равно получите ошибки консоли для определенных нарушений CSP, даже если они не заблокированы).
- Переключить CSP в режим блокировки. Вы не будете получать никаких отчетов, но предупреждение исчезнет, поскольку CSP теперь служит для блокировки контента. Осторожно не делайте этого, если он говорит, что блокирует много вещей. Это свидетельствует о том, что ваш сайт может сломаться. Во-первых, устраните проблемы, которые он блокирует, настроив CSP или изменив используемые ресурсы, а затем переключите его в режим блокировки.
- Переключите CSP в режим блокировки и добавьте
report-uri. В долгосрочной перспективе это лучшее решение с точки зрения безопасности, но применяется предупреждение из шага 3.
Если бы это был я, я сначала добавил бы report-uri, чтобы понять, какие предупреждения генерирует моя страница (обратите внимание, что некоторые из них могут быть вызваны расширениями браузера - вы ничего не можете с этим поделать, но это нормально). Как только я пойму общие предупреждения, я настрою CSP и какие ресурсы у меня есть, чтобы убедиться, что страница загружается без каких-либо предупреждений или ошибок в консоли. Затем я переключил бы CSP в режим блокировки, чтобы воспользоваться преимуществами безопасности, которые он обеспечивает.