igor (ico) wrote,
igor
ico

сломали firefox? и еще noscript криворукий.

куча сайтов отображается черезжопу. даже жежешка.
Элементы не прорисовываются.
в консоли:
..Content Security Policy: Параметры страницы заблокировали загрузку ресурса https://l-stat.livejournal.net/js/??.ljlib.js?v=12522119749&ljold=1 («script-src»).
Content Security Policy: Параметры страницы заблокировали загрузку ресурса https://l-stat.livejournal.net/js/??.post.js?v=211974240&ljold=1 («script-src»).
Content Security Policy: Параметры страницы заблокировали загрузку ресурса https://l-stat.livejournal.net/js/??.comments.js?v=1552142197492&ljold=1 («script-src»).
Content Security Policy: Параметры страницы заблокировали загрузку ресурса https://l-stat.livejournal.net/js/??jquery/post/jquery.lj.draft.js,jquery/post/jquery.lj.caption.js,ckeditor/ckeditor.js,update/main.js,jquery/jquery.lj.editor.js,jquery/jquery.bgiframe.js,lib/jquery-ui/jquery.ui.position.min.js,lib/jquery-ui/jquery.ui.autocomplete.min.js,jquery/jquery.lj.entryDatePicker.js,jquery/jquery.lj.passview.js,jquery/jquery.details.js,scheme/medius.js?v=1521252451450&ljold=1 («script-src»).
Content Security Policy: Параметры страницы заблокировали загрузку ресурса self («script-src»). Source:
window.onerror = null; // damn javas....
update.bml:56
Content Security Policy: Параметры страницы заблокировали загрузку ресурса self («script-src»). Source: if(self!==top)setInterval(top.location.r....


при этом заголовки жежешки вполне себе

Content-Security-Policy-Report-Only: 
default-src *.livejournal.com *.livejournal.net; 
script-src *.livejournal.com *.livejournal.net *.google-analytics.com 
            *.googletagmanager.com *.scorecardresearch.com *.top100.ru *.yandex.ru 
            *.criteo.com yastatic.net *.plista.com *.facebook.com vk.com *.ok.ru *.pingdom.com 
            *.pingdom.net *.vk.com *.twitter.com *.twimg.com *.facebook.net *.instagram.com 
            *.services.livejournal.com *.videos.livejournal.com *.adfox.ru *.exelator.com *.rambler.ru 
            *.rubiconproject.com *.yahooapis.com *.newrelic.com *.nr-data.net *.doubleclick.net 
             googleads.g.doubleclick.net *.lj.ru *.googleapis.com *.youtube.com *.varlamov.me *.varlamov.com 
            *.google.com static.xx.fbcdn.net dsp-rambler.ru openstat.net *.rnet.plus twemoji.maxcdn.com 
            *.googletagservices.com *.googlesyndication.com mc.yandex.ru ymetrica.com telegram.org 
            'unsafe-inline' 'unsafe-eval'; 
style-src https: data: 'unsafe-inline'; 
img-src https: data:; 
frame-src https:; 
font-src https: data:; 
connect-src *.livejournal.com *.livejournal.net *.services.livejournal.com *.google-analytics.com 
            ssp.rambler.ru *.yandex.ru *.ssp.rambler.ru lj.stat.eagleplatform.com 
            *.pingdom.net *.googleapis.com kraken.rambler.ru *.twitter.com *.youtube.com 
            googleads.g.doubleclick.net static.xx.fbcdn.net *.lj.ru *.rnet.plus mc.yandex.ru 
            ymetrica.com; 
report-uri https://livejournal.com/csp_reports

noscript переделывает CSP на себя и все разумеется ломается.


отдельно отмечу упоминание сайта одувана в жжшном CSP :)
Tags: it, jj
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments