Отчет о нарушении CSP содержит [blockedURL], который находится в [originalPolicy].

На чтение 4 мин Опубликовано 21.09.2024

Вопрос или проблема

Мне продолжает приходить отчет о политике безопасности контента, в котором говорится, что https://googleads.g.doubleclick.net:443/pagead/viewthroughconversion/[засекречено]/?random=... был заблокирован директивой img-src [effectiveDirective], хотя в том же отчете подтверждается, что у меня есть https://*.g.doubleclick.net в политике img-src.

Array
(
    [type] => csp-violation
    [url] => https://[засекречено].co.uk/contact/
    [body] => Array
        (
            [documentURL] => https://[засекречено].co.uk/contact/
            [disposition] => report
            [referrer] => https://[засекречено].co.uk/services/
            [effectiveDirective] => img-src
            [blockedURL] => https://googleads.g.doubleclick.net:443/pagead/viewthroughconversion/[засекречено]/?random=[очень длинная строка]
            [originalPolicy] => default-src 'self'; script-src 'self' data: 'unsafe-inline' https://bat.bing.com https://www.googletagmanager.com https://www.googleadservices.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https://bat.bing.com https://lh3.googleusercontent.com https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com; font-src 'self'; connect-src 'self' https://bat.bing.com https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com; frame-src 'self' https://sketchfab.com; worker-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; report-uri https://[засекречено].co.uk/security-reports/report; report-to default;
            [statusCode] => 200
            [sample] => 
            [sourceFile] => https://[засекречено].co.uk/contact/
            [lineNumber] => 0
            [columnNumber] => 1
        )

)

Я пытался добавить https://googleads.g.doubleclick.net и https://*.doubleclick.net в политику, но это не помогло.

Что мне нужно изменить, чтобы браузеры разрешили заблокированный URL?

Ответ или решение

Ваша проблема заключается в том, что URL-адрес https://googleads.g.doubleclick.net:443/pagead/viewthroughconversion/[redacted]/?random=... блокируется политикой безопасности контента (Content Security Policy, CSP), хотя вы указали https://*.g.doubleclick.net в вашей политике img-src.

Однако, даже если вы используете подстановочный знак *, кажется, что это не срабатывает в вашей ситуации. Возможная причина в том, что CSP не интерпретирует подстановочные знаки в контексте, в котором они могут быть не поддержаны, или проблема может заключаться в синтаксисе вашей CSP. Давайте рассмотрим, что вы можете сделать для решения этой проблемы.

Обновите CSP Правила: Вам следует добавить более общие правила в политику img-src. Например:
```
img-src 'self' https://*.g.doubleclick.net https://*.doubleclick.net;
```
Это должно покрыть все поддомены doubleclick.net, включая все страницы.
Проверка Parent Policies: Убедитесь, что ни одна из родительских или родителей-параметров (например, frame-src, connect-src) не требует ограничительных политик, которые могут блокировать контент.
Использование report-uri: Раз вы уже используете report-uri, посмотрите на отчеты, которые поступают. Это может дать вам дополнительные подсказки о том, почему блокировки происходят.
Тестирование в Пользовательских Браузерах: После внесения изменений в CSP, протестируйте вашу страницу в разных браузерах, так как разные браузеры могут иметь различные подходы к обработке сценариев CSP.
Динамическое Добавление Политик: Убедитесь, что изменения политики применяются до того, как ваш контент будет загружен. Попробуйте динамически добавлять политику в заголовках, если это возможно.
Проверка на Ошибки: Проверьте, нет ли синтаксических ошибок в вашей обещанной CSP, так как это может привести к игнорированию параметров.

Если после этих шагов проблема все еще не решается, настоятельно рекомендуется обратиться к разработчику на стороне клиента для получения более детальной информации о сущности запросов, которые ваши браузеры делают к doubleclick.net. Это может помочь выявить любые скрытые проблемы или конфликты между вашими браузерами и политикой CSP.

Обратите внимание, что правильная интерпретация и применение CSP может быть сложным процессом, поэтому важно проводить тщательные тестирования после внесения изменений и отслеживать все полученные отчеты.

Надеюсь, это поможет вам решить вашу проблему с CSP!