logo标签列表

内容安全策略... translate.googleapis.com?

google-chromegoogle-translatecontent-security-policy
5

我刚刚在我的一个网站上添加了Content-Security-Policy-Report-Only,除了出现了惊人的恶意软件之外,我还看到了来自translate.googleapis.com的报告,以及一些与翻译相关的来自gstatic.com的图像。

有没有办法解决这种情况?或者我需要将Google列入白名单?我认为如果我使用这个Content-Security-Policy,就会破坏他们的翻译插件。

有趣。您可以提供您的Chrome版本和Dev控制台中的错误吗?在我使用CSP的页面上,当使用翻译功能时,我唯一看到的违规行为是拒绝加载图片https://www.gstatic.com/images/branding/product/2x/translate_24dp.png。我没有看到任何被阻止的脚本。 https://bugs.chromium.org/p/chromium/issues/detail?id=164547 应该很久以前就已经解决了这个问题。 - Anand Bhat
这是一个例子:http://pastebin.com/tjzp2M9i 至于Chrome版本,我今天早上添加了用户代理记录,但那个版本没有。下次再看到它时再找出来。effective-directive也显示为img-src和script-src。 - James
当我访问该页面并使用翻译选项(在上下文菜单中)时,唯一记录的错误是[仅报告] 拒绝加载图像'https://www.gstatic.com/images/branding/product/2x/translate_24dp.png',因为它违反了以下内容安全策略指令:“default-src 'self' analytics.evolvapor.com”。请注意,未明确设置“img-src”,因此将使用“default-src”作为后备。 - Anand Bhat
同样。它必须是一个插件。 - James
2个回答
2

肯定是一个插件。不用理会报告。

你的报告里可能会有很多垃圾信息,习惯过滤或忽略大部分报告就好了。

0
这可能有些激进,但您可以将 img-src 'self' https://www.gstatic.com 添加到您的 Content-Security-Policy-Report-Only 设置中。正如您所说,如果将其添加到您的 Content-Security-Policy 设置中,我想您会破坏翻译功能(并且可能使您的网站不太安全)。我一直在使用 https://report-uri.io/home/tools 来调整这些设置。
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接