我有一个使用自定义 Web 协议
my-webpcl://steam://应用程序在验证启动请求有效后,在网页连接的本地主机上初始化一个单连接的websocket服务器。
以下 CSP 在 html 页面上允许连接到本地 websocket 服务器以及允许自定义 web 协议。 (这是它唯一出现的地方,也是内容交付平台服务器上唯一包含它的文件。)
<meta http-equiv="Content-Security-Policy" content="connect-src 'self' ws://localhost:12011 ws://127.0.0.1:12011; object-src 'self' my-webpcl:;">以上内容按预期完美运行。然而最近,我们的数据技术人员注意到他的浏览器控制台在平台上执行其他操作时出现以下错误:
Refused to connect to 'https://vortex.data.microsoft.com/collect/v1'
because it violates the following Content Security Policy directive:
"connect-src 'self' ws://localhost:12011 ws://127.0.0.1:12011".
- Sender.ts:421
我立即注意到这个错误包含我的 CSP 声明。不完全,但直到第一个分号结束。
Sender.ts 不是我们的代码,我们不使用或连接到那个漩涡 URL,并且在检查调用文件时吐回
Could not load content for https://az416426.vo.msecnd.net/scripts/JavaScript/JavaScriptSDK/Sender.ts (HTTP error: status code 404, net::ERR_HTTP_RESPONSE_CODE_FAILURE)奇怪的是,数据技术人员甚至没有访问包含该 CSP 的页面,当您访问查询服务器端数据库的页面时,它会反复发生。
当我们托管运行内容交付平台的服务器时。该平台本身是一个大型的第 3 方解决方案,我们对此知之甚少。 (向他们的支持人员询问同样的问题,但不要指望得到不是“那不是我们,请询问您的本地网络管理员”的及时回复。)
我什至不知道真正要问的问题,因为我只是想知道: