影響あり CSP ポリシー命令文内のワイルドカードが blob:data:filesystem: のリソースを許容しなくなりました

公開日: | カテゴリー: プライバシー & セキュリティ

概要

Firefox は、CSP ポリシー命令文 内でアスタリスクワイルドカード (*) が使われていた場合に、blob:data:filesystem: URL からのリソースを誤って許可していました。この挙動は Firefox 40 で修正されました。これまでに CNNFacebookFastMailWhatsApp がこの変更の影響を受けていることが判明しています。それらのサイトはポリシー命令文に img-src: * を含みつつ data: URL で画像を表示しているようです。この問題の解決策は、該当する命令文に明示的に data: を追加することです。

参考資料