我刚刚在我的一个网站上添加了Content-Security-Policy-Report-Only,除了出现了惊人的恶意软件之外,我还看到了来自translate.googleapis.com的报告,以及一些与翻译相关的来自gstatic.com的图像。
有没有办法解决这种情况?或者我需要将Google列入白名单?我认为如果我使用这个Content-Security-Policy,就会破坏他们的翻译插件。
我刚刚在我的一个网站上添加了Content-Security-Policy-Report-Only,除了出现了惊人的恶意软件之外,我还看到了来自translate.googleapis.com的报告,以及一些与翻译相关的来自gstatic.com的图像。
有没有办法解决这种情况?或者我需要将Google列入白名单?我认为如果我使用这个Content-Security-Policy,就会破坏他们的翻译插件。
肯定是一个插件。不用理会报告。
你的报告里可能会有很多垃圾信息,习惯过滤或忽略大部分报告就好了。
img-src 'self' https://www.gstatic.com
添加到您的 Content-Security-Policy-Report-Only 设置中。正如您所说,如果将其添加到您的 Content-Security-Policy 设置中,我想您会破坏翻译功能(并且可能使您的网站不太安全)。我一直在使用 https://report-uri.io/home/tools 来调整这些设置。
[仅报告] 拒绝加载图像'https://www.gstatic.com/images/branding/product/2x/translate_24dp.png',因为它违反了以下内容安全策略指令:“default-src 'self' analytics.evolvapor.com”。请注意,未明确设置“img-src”,因此将使用“default-src”作为后备。
- Anand Bhat