У меня есть следующий заголовок CSP:
script-src 'self' * .google.com * .googletagmanager.com * .google-analytics.com 'nonce-XXXXXX'; style-src 'self' 'unsafe-inline' * .googleapis.com * .gstatic.com; img-src 'self' * .google-analytics.com; font-src https://fonts.gstatic.com/; object-src 'none'; connect-src 'self' wss :; фрейм-предки «нет»; report-uri XXXX;
Сайт в настоящее время работает под
https://127.0.0.1/test/
Сценарий:
<script async defer src="https://www.google.com/recaptcha/api.js?render=explicit"
nonce="XXXXXX"></script>
При загрузке страницы, содержащей капчу или отправке формы, я получил кучу отчетов, содержащих следующую ошибку:
blocked-uri eval
column-number 8
document-uri https://127.0.0.1/test/
line-number 27
original-policy script-src 'nonce-06119715-2ed2-42ae-99b1-edf58ab76283' 'nonce-8834c239-fa22-4e70-965d-8134dc20ae4e'; style-src 'self'; img-src 'self'; font-src https://fonts.gstatic.com/; object-src 'none'; report-uri https://127.0.0.1/test/csp-report
referrer
source-file blob:https://127.0.0.1/47fba858-3af0-4468-a1fe-32e077414fc1
violated-directive script-src
Если я разрешаю «unsafe-inline», отчеты исчезают. Что я делаю неправильно?
Я следую инструкциям на странице reCAPTCHA с политикой безопасности контента , но безуспешно.