Просматривая мои отчеты о нарушениях CSP, я получал те, где form-action s blocked-uri было data.
{"csp-report": {"document-uri ":" XXX "," нарушенная-директива ":" form-action * .XXX.com "," эффективная-директива ":" form-action "," original-policy ":" XXX "," заблокирован-uri ":" data "}}
И еще один:
{" csp-report ": {" document-uri ":" XXX "," действует-directive ":" form-action "," original-policy ":" XXX form-action * .XXX.com; XXX "," заблокирован-uri ":" data "}}
(Соответствующая информация заменена на «XXX».)
Похоже, что эти нарушения исходят от Chrome на Android и Opera на Android.Есть идеи, что это?(И нет, мы не устанавливаем action в data:XXX на наших form тегах.)