我有一个网站。网站由用户使用。我设置了以下内容安全策略:
Content-Security-Policy: default-src 'none'; style-src 'self' 'unsafe-inline'; font-src 'self' data:;
img-src 'self' data:; script-src 'self' 'unsafe-inline' 'unsafe-eval'
www.google.com www.gstatic.com; connect-src 'self'; frame-src www.google.com; media-src 'self';
child-src 'none'; manifest-src 'self'; script-src-elem 'self' 'unsafe-
inline' www.gstatic.com www.google.com; report-uri https://my-site.com/policy-report;
我的网站与 Facebook 无关。我没有与它进行任何集成,例如 API/身份验证等。零。
部署此政策后,我就开始收到有关违规行为的报告。它们来自人们的移动设备(iPhone 和 Andriods)
以下是其中一些:
[blocked-uri] => https://connect.facebook.net
[violated-directive] => script-src 'self' 'unsafe-inline' 'unsafe-eval' www.google.com www.gstatic.com
[blockedURI] => https://www.facebook.com/common/scribe_endpoint.php?c=iab_autofill_js_detection&....(and many more url parameters)
[violatedDirective] => img-src
[blockedURI] => https://www.facebook.com/common/scribe_endpoint.php?c=iab_autofill_js_event&m=%7B%22event%22%3A%22FIRST_FORM_INTERACTION%22%7D
[violatedDirective] => img-src
任何人都可以对此有所了解吗?问题是 Facebook 在我网站上人们的手机浏览器中做了什么?是某种浏览器扩展(数据挖掘间谍软件)会影响每个站点用户的访问吗?如果是,是哪一个?
我需要知道的原因是我想自己测试这种行为,以确保我的用户不会在我的网站上看到任何奇怪的被阻止的 Facebook 内容。
谢谢