コンテンツセキュリティポリシー：ソースデータ

Question

Content security policyを設定しています。私は、テスト専用のレポート専用モードで基本ルールを設定しました。

私がブロックされたスクリプトのレポートを取得しますが、ソースが唯一のdataで保つ：

"csp-report": { 
     "blocked-uri": "data", 
     "document-uri": "http://www.example.com/page.html", 
     "original-policy": "default-src http://www.example.com ... 
     "violated-directive": "script-src 'unsafe-inline' http://www.example.com http://www.google-analytics.com;" 
    } 

私はこの報告書を引き起こし、訪問者と同じブラウザーの種類と同じページに移動した場合でもレポートを再現することはできません。 CSPのドキュメントから、dataという名前のソースについては何も見つかりませんでした。

ページhttp://www.example.com/page.htmlは、主に静的なhtmlですが、<script>タグの間にGoogle Analyticsのスクリプトを持っています

<script type="text/javascript"> 
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject'... 
</script> 

同じスクリプトがフロントページなど、私のサイトの他のページで使用されています。しかし、ブロックdataに関するこれらのレポートは、page.htmlページのみで生成されます。

このURLはブロックされていますか？それは、私のサイトや訪問者のブラウザが読み込もうとした何かからですか？

Answer 1

レポートに関する簡単な質問：1つのブラウザまたはすべてのブラウザで発生しますか？唯一のブラウザであれば

：blocked-uri: dataと script-src違反は、プラグインからの可能性のノイズです。データURLを介してJavaScriptをロードするパターンおそらくはあなたから来ていません。すべてのブラウザであれば

： あなたのライブラリのいずれかがある、おそらく、パターンを使用していない場合。 Googleアナリティクスはパターンを使用しません。

簡単な説明については、https://twitter.com/Scott_Helme/status/710164802925142017を参照してください。

注：script-src data:は非常に危険です、または少なくとも'unsafe-inline'と同じように危険です。出典：http://webreflection.blogspot.com/2011/08/simulate-script-injection-via-data-uri.html