Content Security Policy: Couldn’t process unknown directive ‘report-to’

0

1

При заходе на сайт, защищённый Cloudflare получаю пустую страницу. В консоли браузера ошибки Content-Security-Policy: Не удалось обработать неизвестную директиву «report-to» Погуглив, обнаружил, что это было проблемой лет 8 назад, когда эта директива только появилась, но позже браузеры стали её поддерживать.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/report-to

Firefox 128.9.0. Почему сейчас не работает?

←	А какие вообще нынче можно дистрибутивы интересные посмотреть?

А почему выкинули драйвер cryptoapi ofb в ядрах 6.8+?

→

CONTENT_SECURITY_POLICY_DIRECTIVES__SCRIPT_SRC_ATTR=«null»

https://github.com/directus/directus/discussions/10928

kto_tama ★★★★★
(18.04.25 13:12:12 MSK)

Так ты ссылку свою вниз пролистай, так таблица с поддержкой этого браузерами расписана, по-моему всё предельно ясно. Только пустая страница, я думаю, у тебя не из-за этого.

firkax ★★★★★
(18.04.25 15:08:38 MSK)
Последнее исправление: firkax 18.04.25 15:09:18 MSK (всего исправлений: 1)

Ответ на: комментарий от kto_tama 18.04.25 13:12:12 MSK

CONTENT_SECURITY_POLICY_DIRECTIVES__SCRIPT_SRC_ATTR="null"

Где это писать? В настройках веб-сервера? К нему доступа нет.

И вопрос про другой атрибут.

question4 ★★★★★
(18.04.25 15:31:29 MSK) автор топика

Ответ на: комментарий от firkax 18.04.25 15:08:38 MSK

ссылку свою вниз пролистай, так таблица с поддержкой этого браузерами расписана

Без скриптов не видна, спасибо.

From version 130: this feature is behind the dom.reporting.enabled preference (needs to be set to true). To change preferences in Firefox, visit about:config.

Включил. Ошибки остались. Получается, фичу 7 лет добавляли, и только в 130-й версии добавили, в 128-й ещё нет?

Только пустая страница, я думаю, у тебя не из-за этого.

Возможно. А возможно, отдаёт пустую страницу потому, что мой браузер «неправильно» себя ведёт с защитой от кроссайтового скриптинга. Поэтому сперва устраню эту проблему.

question4 ★★★★★
(18.04.25 15:43:11 MSK) автор топика

Ответ на: комментарий от question4 18.04.25 15:43:11 MSK

Включил. Ошибки остались. Получается, фичу 7 лет добавляли, и только в 130-й версии добавили, в 128-й ещё нет?

Эта фича ненужная и фф на неё забили. А добавил гугл в свой хром из своих нужд. По сути эта «фича» - очередной зонд, только теперь в пользу владельцев сайтов (которых у мозиллы коммерческих нет).

А возможно, отдаёт пустую страницу потому, что мой браузер «неправильно» себя ведёт с защитой от кроссайтового скриптинга. Поэтому сперва устраню эту проблему.

Сервер не может знать, поддерживает ли браузер эту фичу (ну кроме проверок его версии в юзерагенте).

firkax ★★★★★
(18.04.25 15:50:22 MSK)
Последнее исправление: firkax 18.04.25 15:51:19 MSK (всего исправлений: 2)

Ответ на: комментарий от question4 18.04.25 15:43:11 MSK

А возможно, отдаёт пустую страницу потому, что мой браузер «неправильно» себя ведёт с защитой от кроссайтового скриптинга.

Скорее всего автор переусердствовал с CSP и что-то намутил, что его сайт перестал работать. В любом случае ради интереса можно открыть в хроме.

goingUp ★★★★★
(18.04.25 15:54:20 MSK)

Ответ на: комментарий от goingUp 18.04.25 15:54:20 MSK

ради интереса можно открыть в хроме

Открывается. Поэтому и ищу, что не так в ФФ.

question4 ★★★★★
(18.04.25 17:37:13 MSK) автор топика

Ответ на: комментарий от question4 18.04.25 17:37:13 MSK

Посмотри логи http-запросов и ответов, они есть и там и там.

firkax ★★★★★
(18.04.25 17:57:43 MSK)

Ответ на: комментарий от question4 18.04.25 15:43:11 MSK

From version 130: this feature is behind the dom.reporting.enabled preference (needs to be set to true). To change preferences in Firefox, visit about:config.

В версии 137 ошибки не появляются вне зависимости от dom.reporting.enabled , но страница пустая.

question4 ★★★★★
(19.04.25 04:33:40 MSK) автор топика

←	А какие вообще нынче можно дистрибутивы интересные посмотреть?

General

А почему выкинули драйвер cryptoapi ofb в ядрах 6.8+?

→

Похожие темы