Hallo,
ich habe mal eine Verständnisfrage zur Content Security Policy:
Ich lasse verschiedene Seiten analysieren und mir die CSP-Berichte per Email zusenden.
1. Nun ist es ja so, dass anfangs oft externe Dienstleister geblockt werden. Entsprechend wird das in der Analyse auch angezeigt. Beispielsweise:
Violated Directive: img-src
Blocked Domain: https://gstatic.com
Diese kann ich dann nach Bedarf "freigeben" (im Plugin).
2. Teilweise hatte ich bestimmte Direktiven gar nicht angelegt wie beispielsweise prefetch-src. Auch da erhalte ich dann den entsprechenden Bericht:
Violated Directive: prefetch-src
Blockend Domain: https:// ........
Dafür erstelle ich dann auch bei Bedarf den nötigen Eintrag im Plugin.
3. Wie aber kommt folgendes zustande:
Violated Directive: default-src
Blocked Domain: https:// .... (hierbei geht es um einen "Cookie-Hinweis"-Dienstleister)
Warum wird mir keine konkrete verletzte Direktive angezeigt (wie unter 2 angegeben)? Dieses default-src ist doch eigentlich nur so etwas wie ein Fallback. Worin liegt der Unterschied?