Политика безопасности контента - данные: image / svg + xml игнорируются в img-src

Заголовок моего CSP выглядит так (на самом деле, это только часть, имеющая отношение к загрузке изображений), что должно быть действительным. Но Chrome жалуется, что «Список источников для директивы политики безопасности контента 'img-src' содержит недопустимый источник: 'data: image / svg + xml'. Он будет проигнорирован».

img-src data:image/svg+xml 'self' https://stats.g.doubleclick.net/r/collect https://www.facebook.com/tr/ https://www.google-analytics.com/r/collect data:image/svg+xml;

Он должен быть действительным, я нашел его в примерах в Интернете, но он не работает. Например, здесь предлагается https://security.stackexchange.com/questions/94993/is-including-the-data-scheme-in-your-content-security-policy-safe/95011#95011

Приведите действительный и рабочий пример, я потерялся в этом лабиринте.

9
0
6 177
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Ваш пример CSP недействителен. Согласно Документация MDN вы должны использовать только хосты, схемы или другие постоянные значения. После исправления ваш пример должен выглядеть так:

img-src 'self' https://stats.g.doubleclick.net/ https://www.facebook.com/ https://www.google-analytics.com/ data:;

Спасибо! Я видел много примеров, когда они рекомендуют data:image/svg+xml для сужения открытой области. Но это не сработало.

David Votrubec 13.08.2018 10:13

Это также смутило меня. Выбранный ответ InfoSec здесь еще больше запутал, см. Непринятый, но более одобренный ответ для лучшего ответа: security.stackexchange.com/a/167244/76413

Josh Mc 29.01.2021 01:27

Другие вопросы по теме