Erkennen von CSP-Verstößen mit JavaScript

Question

Ist es möglich, einen Verstoß gegen die Inhaltssicherheitsrichtlinie mit JavaScript zu erkennen?

Mein CSP funktioniert und sendet seine Berichte, wo ich sehe, dass einige URLs injiziert werden, wahrscheinlich durch Browser-Addons. Ich möchte dem Benutzer einen Hinweis anzeigen, dass ein Addon versucht, die Seite zu ändern.

Kann ich irgendwie die abgebrochene Verbindung mit Javascript (die selbst in der CSP natürlich auf der weißen Liste ist) erkennen?

Answer 1

Gemäß der W3C CSP specification löst eine Verletzung ein securitypolicyviolation Ereignis aus. Sie können dazu einen Ereignis-Listener hinzufügen.

document.addEventListener("securitypolicyviolation", function(e) { 
    alert("Something is trying something bad!"); 
}); 

Siehe den obigen Link für die Eigenschaften dieses Ereignisses.