FirefoxのCSPガバガバ説

scrapbox.ioのCSPは↓のリストにあるdomainのみしか許可していないはずなのだが、何故かFirefoxだとwww.googleapis.comやapi.gyazo.comにアクセスできてしまう

code:txt

connect-src 'self' i.gyazo.com wss://scrapbox.io https://upload.gyazo.com https://gyazo.com https://storage.googleapis.com https://sentry.io; default-src blob: data: 'self'; font-src 'self' cdnjs.cloudflare.com fonts.gstatic.com; frame-src 'self' www.google.com www.youtube.com player.vimeo.com js.stripe.com; img-src data: * data: blob:; media-src *; script-src 'unsafe-inline' 'self' cdnjs.cloudflare.com www.google-analytics.com maps.googleapis.com 'unsafe-eval' helpfeel-tweaks.helpfeel.com js.stripe.com www.google.com www.gstatic.com; style-src 'self' fonts.googleapis.com cdnjs.cloudflare.com 'unsafe-inline'; worker-src 'self'; form-action 'self'; upgrade-insecure-requests

何故だろうか？Firefoxのバグ？takker.icon

GyaTVとかガバいdnin.icon

予想

Firefoxはdomainでしか許可判定をしていない

sub domainで制限をかけられない

あからさまにCSPを無視してfetchできるケースも見つかった……

/takker/server側でcross-originからのアクセスが許可されていればclient側のCSP設定に関係なくfetchでき