Firefox(在 macOS 上的版本 131 中进行了测试)正在尝试“预加载”我网站的 中的 ,但 CSP 由于 default-src 'none' 阻止了此请求。
Content-Security-Policy "default-src 'none'; style-src 'report-sample' 'self'; script-src 'report-sample' 'self'; manifest-src 'self'; frame-ancestors 'none'; base-uri 'self'; font-src 'self'; img-src 'self' data: 'self'; form-action 'self' https://www.paypal.com; connect-src 'self'; report-uri https://example.com/report_violation/"
我在这里缺少什么指令?只有将 default-src 调整为“self”似乎才能解决问题。查看我的 CSP 报告,Safari 似乎也存在类似问题,仅触发分页 URL。