在最近的 Firefox 更新 (68.0) 之后,我遇到了持久会话数据的问题。
当用户登录时,在页面加载时,会出现各种预期的 CSP 违规,这些违规将包含违规报告的 POST 请求发送到路径 report-uri 指令所包含的。
用于检索用户数据的后续 API GET 请求返回 403 Forbidden,这(根据设计)将用户重定向回登录页面。由于用户已经登录,因此发送相同的 API 请求会导致另一个 403,这会导致无限循环,直到在任意数量的循环之后 API 请求返回 200 OK。
更新前后的所有请求(POST 和 GET)都是相同的。
在我看来,在 API 请求之前存在 CSP 报告 POST 请求这一事实会更改与会话相关的内容,后端使用会话来确定用户是否具有正确的权限。
Firefox 是否会改变它处理 CSP 报告 uri 请求的方式,或者它们的响应会随着更新而改变?
解决这个问题的好方法是什么?