FirefoxのCSPガバガバ説
code:txt
connect-src 'self' i.gyazo.com wss://scrapbox.io https://upload.gyazo.com https://gyazo.com https://storage.googleapis.com https://sentry.io; default-src blob: data: 'self'; font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com; frame-src 'self' www.google.com www.youtube.com player.vimeo.com js.stripe.com; img-src data: * data: blob:; media-src *; script-src 'unsafe-inline' 'self' cdnjs.cloudflare.com www.google-analytics.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com; style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline'; worker-src 'self'; form-action 'self'; upgrade-insecure-requests 何故だろうか?Firefoxのバグ?takker.icon
予想
Firefoxはdomainでしか許可判定をしていない
sub domainで制限をかけられない
あからさまにCSPを無視してfetchできるケースも見つかった……