在 Network.loadNetworkResource 中实现 connect-src CSP 检查

提交: fe72006e | 2025-07-04 08:48:54+00:00

← 返回列表

在 Network.loadNetworkResource 中实现 connect-src CSP 检查

Moderate
提交哈希: fe72006efbce74a7a7133287a6688cc4f4bec87b
提交时间: 2025-07-04 08:48:54+00:00
影响等级: Moderate
生成工具: webview2-upstream-sentry
上游审核链接: 查看上游审核 🔗

📋 摘要

本次提交在 Chromium 的 DevTools Network.loadNetworkResource API 中添加了内容安全策略 (CSP) connect-src 指令的检查。具体变更包括:在 NetworkHandler::LoadNetworkResource 方法中引入 RenderFrameHostCSPContext,对请求的 URL 进行 CSP connect-src 合规性检查,如果违反 CSP 策略则返回 "CSP violation" 错误。同时新增了对应的测试文件,验证跨域请求被 CSP 阻止,而同域请求被允许的行为。这个变更主要解决了之前 source map 请求可能绕过 CSP 检查的安全漏洞,防止潜在的数据泄露。

🎯 影响分析

对终端用户的影响:该变更增强了网页的安全性,特别是对于使用严格 CSP 策略的网站。当开发者工具尝试加载不符合页面 CSP connect-src 策略的网络资源时,会被阻止并显示明确的错误信息。这可能会影响某些依赖跨域资源(如 source maps)的调试场景,但这是一个积极的安全改进。对开发者的影响:开发者在使用 DevTools 的 Network.loadNetworkResource API 时,现在需要确保请求的资源符合页面的 CSP connect-src 策略。如果违反策略,API 调用将失败并返回 "CSP violation" 错误。这可能会影响依赖该 API 的开发工具和扩展,特别是那些需要加载跨域资源的场景。开发者需要相应地调整其 CSP 策略或修改工具逻辑来处理这些限制。

受影响的类:

NetworkHandler RenderFrameHostCSPContext