Chrome ti dice che conosce la direttiva ma il browser è attualmente configurato per ignorarlo, indipendentemente dal fatto che venga applicato o meno.
SRI (Integrità della subunità), come Raccomandazione W3C , è da giugno 2016 ma require-sri-for
, il Contenuto La direttiva sulla politica di sicurezza è stata introdotta più tardi in Bozza del redattore ad agosto 2016. Le bozze sono < em> fornito solo per discussione e può cambiare in qualsiasi momento. E tali funzionalità sperimentali di solito non sono abilitate di default per fare spazio a cambiamenti nell'implementazione, nelle specifiche o in entrambi.
Ogni volta che Chrome rileva la direttiva in un criterio, prima controlla se le funzionalità sperimentali sono abilitate e analizza la direttiva e il suo valore se sì. Se le funzionalità sperimentali non sono abilitate, registrerà il messaggio visualizzato:
The Content-Security-Policy directive 'require-sri-for' is implemented behind a flag which is currently disabled.
Riferirà il messaggio anche se in seguito gli script verranno disabilitati con script-src 'none'
, il messaggio verrà loggato in anticipo nella console durante l'analisi della direttiva. Puoi vederlo nel codice sorgente in CSPDirectiveList::AddDirective
metodo .
Per far sparire il messaggio hai due opzioni:
-
Abilita #enable-experimental-web-platform-features
in chrome://flags/
(copia questo chrome://flags/#enable-experimental-web-platform-features
e incollalo sul Chrome, riavvia il browser) e verifica la tua politica in modo che tu sia pronto quando viene spedito require-sri-for
, tuttavia questo farà scomparire il messaggio solo per una piccolissima percentuale di utenti che hanno abilitato funzionalità sperimentali nei loro browser
-
Rimuovi require-sri-for
dalla tua politica, ad esempio se non ti serve perché stai utilizzando script-src 'none'
, e aggiungilo più tardi una volta che desideri verificare gli script
-
Attendi fino a quando Chrome non abiliterà la funzione per tutti, fino a quando gli utenti non visualizzeranno il messaggio nella console anche se non stai verificando l'integrità degli script caricati
Personalmente utilizzo l'opzione 3, ma ho temporaneamente abilitato il flag per verificare se il sito funzionasse una volta che require-sri-for
sarebbe stato pubblicato.