CSP阻止在data:application / javascript; base64,KGZ1b…(“ script-src”)处加载资源

问题描述 投票:1回答:1

我们正在开发CSP,并且遇到了Firefox(v 60.0.2)而不是Chrome报告违规的情况:

内容安全策略:页面的设置阻止了在data:application / javascript; base64,KGZ1b ...(“ script-src”)处加载资源

这是什么,我们应该担心吗?我们可以解决吗?

我们的内容安全政策:

default-src'none'; font-src'self'; img-src“自身”数据:www.google-analytics.com; object-src'none'; script-src'self'www.google-analytics.com'report-sample'; style-src'self''unsafe-inline'; connect-src'self'www.google-analytics.com; base-uri'自我';形式动作“自我”; child-src'none'; frame-src'self';框架祖先“无”; report-uri / csp_reports;插件类型无

非常感谢。

javascript firefox content-security-policy
1个回答
0
投票
根据我的经验,处理这些问题的最佳方法是使用本地版本的站点制作VM,并通过url查看base 64数据生成的脚本。它通常是最小的,但是您可以看到它是否正在发送数据,或者至少对脚本目标是什么有了一点了解。如果您在网站上设置了合成标记,则可以构建标记调用的层次结构以查看其来源。如果您仍然需要帮助,我公司正在就如何设置CSP进行公开讨论,我们很乐意通过在线研讨会帮助您解决这一问题。您可以在这里注册https://app.livestorm.co/blue-triangle/protect-against-magecart-and-enjoy-cinco-de-mayo,希望在那里见到您。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.