Мобильная версияПолитика безопасности контента 'default-src 'self'; script-src 'self' 'unsafe-inline' https: //use.typekit.com https://js.hs-analytics.net https://google-analytics.com https://ajax.googleapis.com; шрифт-src https://use.typekit.com; style-src 'self' 'unsafe-inline' https: //use.typekit.com; фрейм-источник https://www.youtube.com;' был доставлен в режиме «только отчет», но не указан «report-uri»; политика не будет иметь никакого эффекта. Добавьте директиву report-uri или доставьте политику через заголовок Content-Security-Policy.
Вот моя полная политика безопасности контента: я определяю HTTP-заголовок в заголовочном PHP-файле веб-сайта:
Код: Выделить всё
header("Content-Security-Policy-Report-Only: default-src 'self';
script-src 'self' 'unsafe-inline' https://use.typekit.com https://js.hs-analytics.net https://google-analytics.com https://ajax.googleapis.com;
font-src https://use.typekit.com;
style-src 'self' 'unsafe-inline' https://use.typekit.com;
frame-src https://www.youtube.com;
report-uri /csp-violations-report-endpoint;
");
Я не уверен, что делаю неправильно. Я прочитал предложения MDN относительно report-uri и использовал пример Google для написания директивы report-uri.
Следует ли мне попытаться указать report-uri на скрипт в корневом каталоге? Должен ли я попытаться позволить ему войти в систему самостоятельно или мне нужен синтаксический анализатор, чтобы справиться с этим? Может быть что-то не так с моим сценарием? (Я могу включить это, если это поможет)
Изменить: возможно, мой веб-браузер игнорирует директиву report-uri (поскольку он устарел) и ожидает директивы report-to, поэтому он не работает, но сообщение об ошибке заставляет меня поверить, что это не так.
Подробнее здесь: https://stackoverflow.com/questions/456 ... recognized
