CSP阻止在data：applicationjavascript; base64，KGZ1b…（“ script

CSP阻止在data：application / javascript; base64，KGZ1b…（“ script

我们正在开发CSP，并且遇到了Firefox（v 60.0.2）而不是Chrome报告违规的情况：

内容安全策略：页面的设置阻止了在data：application / javascript; base64，KGZ1b ...（“ script-src”）处加载资源

这是什么，我们应该担心吗？我们可以解决吗？

我们的内容安全政策：

default-src'none'; font-src'self'; img-src“自身”数据：www.google-analytics； object-src'none'; script-src'self'www.google-analytics'report-sample'; style-src'self''unsafe-inline'; connect-src'self'www.google-analytics; base-uri'自我';形式动作“自我”； child-src'none'; frame-src'self';框架祖先“无”； report-uri / csp_reports;插件类型无

非常感谢。

回答如下：根据我的经验，处理这些问题的最佳方法是使用本地版本的站点制作VM，并通过url查看base 64数据生成的脚本。它通常是最小的，但是您可以看到它是否正在发送数据，或者至少对脚本目标是什么有了一点了解。如果您在网站上设置了合成标记，则可以构建标记调用的层次结构以查看其来源。如果您仍然需要帮助，我公司正在就如何设置CSP进行公开讨论，我们很乐意通过在线研讨会帮助您解决这一问题。您可以在这里注册https://app.livestorm.co/blue-triangle/protect-against-magecart-and-enjoy-cinco-de-mayo，希望在那里见到您。