Браузеры, которые поддерживают заголовок ответа HTTP Content Security Security , будут препятствовать загрузке изображений (и другого содержимого) для любой страницы, где заголовок ответа или метатег содержит директивы Content Security Policy, ограничивающие рассматриваемые домены. как допустимые источники контента, требуют, чтобы весь контент загружался через HTTPS и т. д. Наиболее широко используемые современные браузеры поддерживают Политику безопасности контента и применяют ее для контроля большинства ресурсов контента (включая изображения), связанных с любым HTTP-запросом. (за исключением того, что управление ресурсами веб-работника не поддерживается в Safari и IE и может не поддерживаться в Edge или Opera).

Вы можете специально включить директивы политики img-src в свою Политику безопасности контента, чтобы ограничить домены, считающиеся допустимыми источниками для изображений, а также требовать схему HTTPS и т. Д. Существуют также специальные директивы для множество других ресурсов, включая шрифты, фреймы, мультимедиа (аудио, видео и т. д.), скрипты, таблицы стилей, веб-работники и т. д.

Вам нужно будет либо включить свою Политику безопасности контента как часть заголовка ответа HTTP, который возвращается с вашего веб-сервера, как часть каждого HTTP-запроса, где вы хотите ограничить допустимые источники контента, либо убедиться, что запрашиваемая страница содержит контент Метатег политики безопасности, как ...

<meta http-equiv="Content-Security-Policy" content="default-src 'self';">

Обратите внимание, что браузеры IE 10+ поддерживают заголовки ответов Content Security Policy, но не метатеги (также есть некоторые конкретные детали реализации, которые вам необходимо учитывать, если вы хотите поддерживать IE).

CSP не предназначен в качестве первой линии защиты от уязвимостей, связанных с внедрением контента.

...

Новый ответ II

Вопрос:

Чтобы уточнить: браузер по-разному относится к изображениям или другим ресурсам, не относящимся к документам, если они поставляются с заголовком CSP присоединен?

Мой ответ:

• Сначала определите « не-документ »? У W3 (ребята, которые определяют, как на самом деле работает интернет) есть определение «документа» , и я предполагаю, что ваше определение такое же.

  Если это не так, просьба уточнить соответственно.

Правила W3 по политике безопасности контента (по состоянию на октябрь 2018 г.) гласят, что цели CSP заключаются в следующем:

[ 1113]

Снижение риска атак с внедрением контента, предоставляя разработчикам достаточно детальный контроль над:

• Ресурсами, которые могут быть запрошены (и впоследствии внедрены или выполнены) от имени конкретный документ или работник

• Выполнение встроенного скрипта

• Динамическое выполнение кода (посредством eval () и аналогичных конструкций)

  [1155 ]

• Применение встроенного стиля

• Снижение риска атак, требующих внедрения ресурса в вредоносный контекст («Пиксель»). Совершенная «атака, описанная в [TIMING], например), предоставляя разработчикам детальный контроль над источниками, которые могут встраивать данный ресурс.

• Предоставить структуру политики, которая позволяет разработчикам снижать привилегии своих приложений.

• Обеспечить механизм отчетности, который позволяет разработчикам обнаруживать недостатки, эксплуатируемые в дикой природе.

Примечание пункт 1 (i);

«Ресурсы, которые могут быть запрошены (и впоследствии внедрены или выполнены) от имени конкретного документа или работника »

Документ определяется, как указано выше, и работа определяется, по сути, как то, что использует модель DOM Javascript ( это может быть неверно ).

Таким образом, CSP, как ожидается, будет применяться к документам (данное) и работникам .

Являются ли другие (MP3, PDF и т. Д.) Файлы документами или рабочими? Они не являются документами, но то, как они обрабатываются в браузерах , подразумевает, что они содержатся в структуре документов .

Пожалуйста, посмотрите этот старый Chrome Bug report . При этом PDF не смог загрузить содержимое из-за настроек CSP веб-сайтов, и PDF фактически загружался плагином браузера (родным для всех современных браузеров) и поэтому был подвержен влиянию object-src CSP.

Это CSP версии 1, и у меня нет оснований думать, что либо способ, которым браузеры обрабатывают файлы без документов, либо способ интеграции CSP значительно изменился с тех пор, как была обнаружена эта ошибка.

Поэтому: браузерам НЕ ТРЕБУЕТСЯ применять CSP к недокументированным и нерабочим объектам, но из-за того, как работают браузеры, они, вероятно, будут применять заголовки CSP к недокументированным и не-документальным объектам. -работающие объекты, поскольку эти объекты будут обернуты в модели документов для облегчения работы с файлами в браузере.

Но Это происходит из-за кодирования браузера и не должно ожидаться с октября 2018 года.