Chrome 添加标头 Content-Security-Policy-Report-Only

【问题标题】:Chrome adds header Content-Security-Policy-Report-OnlyChrome 添加标头 Content-Security-Policy-Report-Only
【发布时间】:2020-02-26 11:56:27
【问题描述】:

我有一个(强制执行的)CSP 策略,其中包含worker-srcreport-uri 等指令。

由于某种原因,当使用 Chrome (80.0.3987.122) 加载网站时,“网络”选项卡还会显示标题 Content-Security-Policy-Report-Only: worker-src 'none'; report-uri about:blank

这与我的 Content-Security-Policy 标头中的设置冲突,阻止加载服务工作人员(并将有关无效 report-uri 的错误记录到控制台)。

当我用 Firefox 加载同一个站点时,我没有看到这个神秘的附加标题。

有没有人遇到过类似的情况?这是预期的行为吗?

【问题讨论】:

  • 您确认它实际上不是由浏览器扩展添加的吗?您是否在禁用扩展的情况下进行了测试?
  • @sideshowbarker 你是对的!

标签: google-chrome content-security-policy


【解决方案1】:

这是由uMatrix 的CSP 注入功能引起的,更多细节可以找到here

请注意,此设置必须设置为 true 才能禁用额外的 Content-Security-Policy-Report-Only 标头。

【讨论】:

    猜你喜欢
    • 2021-12-18
    • 1970-01-01
    • 1970-01-01
    • 2018-09-05
    • 2013-05-03
    • 1970-01-01
    • 2013-01-13
    • 1970-01-01
    • 2022-01-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode