影響あり 専用 Worker は、埋め込み型を除き、親ドキュメントから CSP を継承しなくなりました

公開日: | カテゴリー: DOM, プライバシー & セキュリティ

概要

XMLHttpRequestimportScripts が使われている場合に、専用 Worker が誤って親ドキュメントのポリシーを「継承」しているという Content Security Policy (CSP) の実装バグが Firefox 45 で修正されました。

一方、埋め込み Worker は親ポリシーを継承しますが、Blobtext/javascript など有効なスクリプト用 MIME タイプを指定する必要があります。そうしないと、script-src の代わりに default-src ディレクティブがその Worker に適用され、予期せぬ CSP エラーにつながる可能性があります。この制約により Yandex.Disk が Firefox 45 で正しく動作していません

Update: Yandex.Disk の問題は Yandex チームによって修正されました。

参考資料