0
我们目前正在向网站推出内容安全策略。首先插入Content-Security-Policy-Report-Only
表头以获得关于影响的一些反馈。很快我们发现Safari浏览器中的Evernote Web Clipper插件违反了CSP指令,因为它似乎向页面中注入了一些代码。Evernote Web Clipper和内容安全策略
我们在CSP报告得到这样的:
{"csp-report":
{
"document-uri":"http://example.com/index.html",
"violated-directive":"default-src 'self'",
"original-policy":"default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; report-uri http://example.com/report.html",
"blocked-uri":"safari-extension://com.evernote.safari.clipper-uahs7eh2ja",
"source-file":"http://example.com/js/jquery.js",
"line-number":2
}
}
我们如何需要修改CSP头让Evernote Web Clipper可插件不会被阻止? blocked-uri
似乎在最后包含一个用户特定的ID,这使得它非常困难。