Den populære innholdsblokkering extension uBlock Opprinnelse blokker CSP rapportering på nettsteder som gjør bruk av det hvis det injiserer kastrert skript.
CSP, Innhold Retningslinjer for Sikkerhet, kan brukes av web-utviklere å hviteliste kode som er tillatt å kjøre på web egenskaper. Ideen bak funksjon er å hindre angripere fra å injisere JavaScript på nettsidene er beskyttet av CSP.
CSP rapporter ethvert forsøk på å gripe inn med nettstedets retningslinjer i forhold til skript til webmaster. Dette skjer når brukere kobler til nettstedet, og er brukt av webansvarlige til å analysere og løse de oppdagede problemer.
Tips:
- uBlock Opprinnelse: offisielle depotet og nedlastinger
- uBlock Opprinnelse: hvor å fjerne et element fra en side permanent
Scott Helme åpnet en støtte billett på den offisielle uBlock Opprinnelse GitHub side et par dager siden, der han erklærte at innholdet blocker var blokkerer “sending av legitime CSP rapporter”.
Det er sant at rapportene er blokkert. Du kan besøke hans nettsted, https://scotthelme.co.uk/, og kontroller nettverket loggen i nettleseren valg for å se de mislykkede rapportering forsøk hvis du har uBlock Opprinnelse installert i nettleseren.
Raymond Bakken, utvikleren av uBlock Opprinnelse, svarte sier at dette ikke var en feil, men av design. Utvidelsen blokker sending av CSP rapporter om det injiserer en kastrert Google Analytics-skriptet.
Nettleserutvidelse uBlock Opprinnelse blokkerer Google Analytics for å hindre at brukeren sporing. Siden enkelte nettsteder slutte å fungere riktig hvis Google Analytics er ikke lagt i riktig, en kastrert skriptet er injisert i stedet for å redusere sannsynligheten for nettsteder å bryte.
CSP rapporter kan bli sparket på grunn av injisering av kastrert skript, og uBlock Opprinnelse blokkerer dem, samt for å hindre at informasjon lekkasje.
uBO vil ikke være årsaken til brukeren informasjon blir lekket. Konsekvensen av uBO gjør jobben sin (injisering kastrert skript, kan det føre til CSP rapporter for å bli sparket, derav uBO blokker CSP rapporter.
Hver forespørsel til nettverket om noe som gir en user agent må være til fordel for brukeren, inkludert CSP rapporter. Brukeragenten er ikke eid av den eksterne serveren slik at det blir å avgjøre hva som skal aldri bli blokkert eller ikke.
Derfor, hvis en forespørsel til nettverket om til en ekstern server er potensielt skadelig for brukeren, det blir blokkert, spesielt hvis det nettverket forespørsel er sparket utelukkende som et resultat av uBO gjør jobben sin. Dette er et slikt tilfelle her.
I utgangspunktet, hva det kommer ned til er følgende: uBlock Opprinnelse handler først og fremst på vegne av sine brukere. Dette betyr at det vil blokkere sending av CSP rapporter som kan være et resultat av utvidelsen injisere kastrert skript for å blokkere informasjon, for eksempel brukerens IP-adresse, user agent, og klokkeslett og dato forespørsler ble gjort.
Les også: Hva vil 2017 bringe for nettlesere?
Tredje-parter kunne misbruke systemet for brukeren sporing, og det er en annen grunn til at disse rapportene er blokkert i uBlock Opprinnelse.
Utvidelsen ikke blokkere alle CSP rapporter. Det bare gjør det bare hvis en kastrert skriptet er injisert ved utvidelsen på en side. Dette skjer bare åpenbart hvis en ressurs på side ble blokkert, sier Google Analytics ble blokkert, og hvis en kastrert versjon av manuset eksisterer. Ingen CSP rapporten er blokkert hvis det er ikke tilfelle.
Raymond Bakken vil slippe en oppdatering til WebExtensions versjoner av uBlock Opprinnelse i nær fremtid som skiller mellom CSP rapporter forårsaket av injisering av kastrert skript og regelmessig CSP rapporter. CSP rapporter er antatt falske dersom, uansett årsak, uBlock Opprinnelse ikke kan analysere rapport imidlertid.
Avsluttende Ord
Brukerne kommer først når det gjelder å uBlock Opprinnelse, og det er en av grunnene til at utvidelsen og sin utbygger er så populære som de er.