Почему я должен получить нарушение CSP для заблокированного uri 'about'?

URI моего CSP-отчета получил следующее нарушение CSP:

{
  "csp-report":{
    "document-uri":"https://example.com/blog/somepage",
    "referrer":"",
    "violated-directive":"img-src 'self' data: p.typekit.net pbs.twimg.com platform.twitter.com q.stripe.com syndication.twitter.com",
    "effective-directive":"img-src",
    "original-policy": veryLongPolicyGoesHere,
    "blocked-uri":"about",
    "status-code":0
  }
}

Почему я должен получить нарушение CSP для заблокированного uri 'about'?

Является ли это встроенным URL about: из веб-браузеров? Я не могу воспроизвести проблему, когда пытаюсь.

Ответ 1

Я работал с пользователем, чтобы обнаружить, что это действительно расширение Disconnect, которое вызывает это. Я связался с людьми, делающими расширение, и они подтвердили, что они блокируют URI, заменяя их about:blank; это то, что вызывает нарушения CSP.

Пока Disconnect не фиксирует их схему блокировки, я думаю, что лучший подход, чтобы просто игнорировать сообщения о нарушениях при CSP blocked-uri является about.

Ответ 2

Я думаю, что, возможно, нашел временный обходной путь (до тех пор, пока не будет исправлено пустое место на странице): добавление about: к нарушенным директивам. Я попытался добавить его в default-src, но все равно получил сообщение о нарушении. Я добавил его в img-src и script-src, и нарушения не обнаружились.