Ho cercato di spostare il mio sito su CSP hash-source anziché su CSP host-source per verificare l'integrità dei file distribuiti da un CDN.
Ho un WebWorker in esecuzione in background, che importa alcuni script da un CDN tramite la funzione importScripts (). Quando si specifica l'hash dello script, ad esempio, per jQuery, script-src: 'sha384-tsQFqpEReu7ZLhBV2VZlAu7zcOV+rXbYlF2cqB8txI/8aZajjp4Bqd+V6D5IgvKT' , viene visualizzato un errore di violazione CSP. Tuttavia, quando includo lo script tramite tag HTML, tutto va bene, quindi l'hash è corretto.
Ciò che rende questo ancora più strano è che quando aggiungo un CSP di origine host, ad esempio, script-src: https://cdnjs.cloudflare.com , non viene visualizzato alcun errore e lo script WebWorker viene eseguito correttamente.
Come posso far funzionare CSP hash-source con i WebWorker o almeno verificare l'integrità dei file importati con l'API di WebWorker?