К черту. Я выношу к хуям эту CSP с моего сервера
Оно стало блокировать запросы к favicon.ico
На том же домене
При том, что default-src: 'self'
И в целом дебильнейшая хуетень она
К черту. Я выношу к хуям эту CSP с моего сервера Оно стало блокировать запросы к favicon.ico И в целом дебильнейшая хуетень она 25 comments
Такое ощущение, что эта хуйня создана, чтобы заставлять людей страдать. Без CSP нИбЕзОпАсНа, а с CSP все, всё сука отвалится «Защищать» ИНЛАЙН ресурсы грёбаными нонсами Под чем этот стандарт вообще разрабатывали, и кто сука допустил его принятия
[DATA EXPUNGED]
@saiv46
[DATA EXPUNGED]
@saiv46 у адблока есть ещё такая штука как "косметические фильтры", на случай если запроса который можно отрезать не происходит
[DATA EXPUNGED]
@saiv46 вообще это гениально @mo сама идея нонсов крутая, когда у половина сайтов грузится с cdn, а вот для инлайнов это как побочка, видимо. Сама идея использовать инлайны мне не нравится, но кто-то же так делает и среда такое позволяет @sattellite инлайны хороши тем, что для них не нужно делать запрос, и ждать 1+ райундтрипов У меня в инлайне CSS, отвечающий за верстку, а в отдельном файле за стили. Так сделано, чтобы ничего не дергалось во время загрузки на медленном соединении Но нет, оказывается инлайнить СТИЛИ это сука небезопасно @sattellite и если у меня есть выбор, удовлетворить чекер дегенератской политики, или сделать Cumulative Layout Shift = 0, то тут выбор очевиден @mo а, для этого даже какая-то метрика в веб перформансе есть, название забыл. Я такой css не инлайнил, а в заголовок встраивал в теге style. @sattellite да, я проверила ещё раз. Встраивать код в тег style в хедере, это unsafe-inline лмао @mo нет, так обзывается инлайн прямо в параметр style у элементов. А как зовется вынесенный в заголовок стиль забыл. @sattellite я это только что глазами проверила, о чем ты вообще @mo да, ты права. Я ошибся. Этот параметр действительно разрешается с помощью unsafe-inline https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src#unsafe_inline_styles @tennoseremel кешированием чего? Там мизерные объемы нужны, чтобы верстка корректно встала. Но если их вынести в отдельный файл, страница неиронично начинает дёргаться при загрузке, и это не только гугла мнение, я проверяла
[DATA EXPUNGED]
@mo от этой херни толк только в VS Code и прочих приложухах, которые по дизайну позволяют что-то кастомное добавлять, и то не особо понятно... |
— Вы че блять, свои сайты в киосках заряжаете? Как инлайн данные могут прийти из недоверенного источника?!