CSP错误:即使在策略中引用了端点，也不允许？

Question

我得到了这个CSP错误：

拒绝连接到'https://cdn.userway.org/remediations/consolidated/123451234/s2345234g5.json‘，因为它违反了以下内容安全策略指令：“connect 'self’https://cdn.userway.org/*"。

我原以为政策中的https://cdn.userway.org/*会允许https://cdn.userway.org/remediations/consolidated/123451234/s2345234g5.json。

为了避免这个错误，编辑策略的正确方法是什么？

Answer 1

将connect-src 'self' https://cdn.userway.org/*更改为connect-src 'self' https://cdn.userway.org。CSP不允许在路径部分使用(尾斜杠是可选的)。

在大多数web模板中，通配符‘*’的解释非常广泛，例如在Cordova中：

<allow-navigation href="*://*.example.com/*" />
<allow-navigation href="http://*/*" />

因此，这常常导致CSP中的混乱。