Проблема CSP на холодной нагрузке с хромом и краем, но работает на обновлении. Firefox также всегда работает нормально ⇐ Javascript

[Anonymous]

Мой контекст: < /h2>
Я работаю над статической страницей, обслуживаемой AWS Cloudfront и сохранен в S3. Страница является базовым HTML, CSS и JS. Нет фреймворков. CSP реализуется с хэши, поскольку использование NONCES невозможно на моем статическом сайте. На Chrome и Edge я получаю ошибку CSP на библиотеке UMD, подставленную VITE (

Код: Выделить всё

) во время моей сборки с использованием Vite-plugin-inline-source , но он нормально загружается, если я обновлю. Скрипт, поскольку он нарушает следующую директиву политики безопасности контента:
мое расследование:
Сайт статичен, и я дважды проверил с помощью Инструмент DIFF для проверки кода идентичен на начальной нагрузке с ошибкой CSP и последующими нагрузками, которые работают. < /p>
Заголовок CSP также идентичен. H2> Следующие шаги? Это ошибка с хромовым двигателем? Есть ли способ, которым я мог бы получить законную ошибку CSP, даже если правильный хэш включен в заголовок? Зачем он не удастся при начальной нагрузке (или когда кэш отключен), но не при последующих нагрузках? Почему это всегда работает на Firefox? Похоже, что либо Firefox не может идентифицировать риск CSP, либо (скорее всего, в моей оценке) Chrome генерирует ложный положительный. Я могу устранить проблему, но мне не повезло.
Я хотел бы понять, что здесь происходит.

Подробнее здесь: https://stackoverflow.com/questions/793 ... fox-also-a