CSP: Firefox 83和Chromium 87之间的"script-src“区别？

Question

我们有一个包含以下CSP的Web站点：

Content-Security-Policy: base-uri 'self';default-src 'self';font-src 'self' data:;frame-src 'self' *.project-open.net;img-src 'self';object-src 'none';report-uri /SYSTEM/csp-collector.tcl;script-src 'unsafe-inline' 'nonce-071AAEB62D9B05B24B13B76A3AECA620EBFF732B';style-src 'self' 'unsafe-inline';

我们有一个包含一些小JS的搜索框：

<script type="text/javascript" nonce="071AAEB62D9B05B24B13B76A3AECA620EBFF732B ">
alert('xxx');
</script>

在Chromium中一切正常，但是FireFox显示了一个错误：

Content Security Policy: The page’s settings blocked the loading of a resource at inline (“script-src”).

谷歌的CSP checker返回的都是绿色。有没有关于这种不兼容性的根源或者如何修复它的想法？

Answer 1

这是一个带有错误属性解析的旧Firefox bug -它不会删除尾随空格。

只需删除nonce="071AAEB62D9B05B24B13B76A3AECA620EBFF732B ">值中的尾随空格。