我们正试图在一个网站上设置一个内容安全策略,该网站上有很多谷歌标签管理器标签、自定义脚本和其他随机内容。我们经常收到如下CSP报告:
{
"csp-report":{
"document-uri":"https://www.example.com/variouspages.php",
"referrer":"",
"violated-directive":"img-src",
"effective-directive":"img-src",
"original-policy":"[...] img-src 'self' px.ads.linkedin.com [...]",
"disposition":"enforce",
"blocked-uri":"https://px.ads.linkedin.com/collect?v=2&fmt=js&pid=0000000&time=1626965954064&url=https%3A%2F%2Fwww.example.com%2Fmy-account%2Fvariouspages.php",
"status-code":0,
"script-sample":""
}
}
我对此感到非常困惑。当我访问该页面时,我看到LinkedIn像素添加没有问题,并且带有CSP警告——这是我所期望的,因为它的域在img-src指令中。
是什么可能导致这么多用户阻止和报告这件事?我在这里不知所措。
请注意被阻止的域名:px.ADS.linkedin.com。你观察到的是广告拦截程序(uBlock/Adblock浏览器扩展(的工作结果
这篇文章解释了为什么允许的域被阻止的技术细节。