LinkedIn按照按鈕谷歌Chrome的內容安全策略腳本的SRC報告樣本

Question

試圖把一個LinkedIn按照按鈕到網站，它工作在Firefox罰款，但不會在Chrome與此錯誤在控制檯：

內容安全政策指令'script-src' 的源列表包含一個無效的來源：''report-sample''。它會被忽略。 LinkedIn自己關注按鈕生成頁面上

同樣的問題：點擊按鈕時在控制檯https://developer.linkedin.com/plugins/follow-company

相同的消息並沒有任何反應。

這種情況只發生在Chrome瀏覽器中（來自我瀏覽過的瀏覽器）。 #linkedin #chrome

Answer 1

我看到同樣的事情必須與https://developers.google.com/web/fundamentals/security/csp/

。在實施過程中似乎存在CSP問題。單擊按鈕時發起的對GET請求的響應將其X-Frame-Options標頭設置爲相同原始，以便瀏覽器不評估響應。

我向LinkedIn報告了這個問題，他們表示他們會讓工程師看一看。