콘텐츠 보안 정책 라인 1 (파이어 폭스 57.0)에 실패

Question

내가보고 전용 모드에서 다음 콘텐츠 보안 정책을 사용하고

:

내가 HTML 페이지가를 포함하여 서버에 URL로 이동

Content-Security-Policy-Report-Only "default-src 'self'; report-uri /log_violations" 

다음

<!DOCTYPE html> 
<head> 
    <title> 
    Test document 
    </title> 
</head> 
<html> 
    <body> 
    Hello 
    </body> 
</html> 

I 라인 1에 파이어 폭스 57.0에서 다음과 같은 오류 메시지가 표시 오전 :에서

Content Security Policy: The page’s settings observed the loading of a 
resource at self (“default-src http://www3.thestar.com”). A CSP report 
is being sent. Source: ;!function(){var t=0,e=function(t,e){ret... 

을 Edge, Chrome과 같은 다른 브라우저는 이러한 오류를 보지 못했습니다.

Firefox의 버젼인지 또는 잘못 설정 한 것인지에 대한 의견이 있으십니까? 정책이 모든 페이지의 1 행을 거절하는 이유에 관해서 나는 혼란 스럽다.

Answer 1

아마도 확장 기능이 설치되어 있으며 페이지에 내용을 주입하고있는 것입니다. 확장자가없는 new Firefox profile 페이지를 열어 CSP 위반이보고되는지 확인하십시오.

파이어 폭스는 파이어 폭스 58을 시작하는 CSP 검사에서 확장 기능으로 주입 된 내용을 제외 할 계획이므로 페이지에서 물건을 만드는 확장 기능의 노이즈를 줄여야합니다.

파이어 폭스 58로 시작하는 Mozilla blog에서

는 웹 페이지의 CSP는 확장에 의해 삽입 콘텐츠에 적용되지 않습니다. 이렇게하면 예를 들어 확장 프로그램이 자체 리소스를 페이지에로드 할 수 있습니다.