Я использую Content-Security-Policy-Report-Only, чтобы сначала протестировать реализацию заголовка `` Content-Security-Policy` и посмотреть, что будет заблокировано.
Я не могу понять, почему нарушена директива script-src на https://ssl.google-analytics.com домене, если я разрешил этот домен (хотя подстановочный знак - https://*.google-analytics.com), и в большинстве случаев проблем нет.Но когда "referrer": "https://www.google.com/", то появляется отчет:
{
"csp-report": {
"blocked-uri": "https://ssl.google-analytics.com/ga.js",
"document-uri": "https://www.example.com/path/to/page",
"original-policy": "...; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.google.com https://*.google-analytics.com https://*.googleapis.com https://*.gstatic.com https://*.youtube.com https://*.infogram.com https://*.doubleclick.net; report-uri https://www.example.com/report=csp",
"referrer": "https://www.google.com/",
"violated-directive": "script-src"
}
}
Возможно, стоит упомянуть, что я использую относительный путь в директиве report-uri, но «кто-то» заменил его абсолютным.Также я не вижу проблем при вводе этой конечной точки вручную ИЛИ, если нет referrer как google .