http - CORP 使用 CSP 沙箱集阻止明显同源请求

Question

想象一个网站有两个文档:index.html 和 test.jpg，都位于根目录。 index.html 具有以下内容。

<!DOCTYPE html>
<html lang=en>
        <head>
                <meta charset=utf-8>
                <meta content="text/html; charset=utf-8" http-equiv=content-type>
                <title>Test</title>
        </head>
        <body>
                <p>Hello.</p>
                <img src="/test.jpg">
        </body>
</html>

如果没有安全 header ，则效果很好。但是，在 index.html 上使用这些 header :

Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin

以及 test.jpg 上的此 header :

Cross-Origin-Resource-Policy: same-origin

test.jpg 将不再由 Chrome 98 加载。它在控制台中报告 net::ERR_BLOCKED_BY_RESPONSE.NotSameOrigin 200。

将以下 header 添加到 index.html 也会导致该图像被 Firefox 97 拦截:

Content-Security-Policy: default-src 'none'; style-src 'self'; img-src 'self'; prefetch-src 'self'; frame-ancestors 'none'; form-action 'none'; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox; base-uri 'none'

(我知道有很多指令，但我试图将它们分成重要的部分，但无法弄清楚。)

这里发生了什么？ https://example.com 和 https://example.com/test.jpg 是同一个来源，不是吗？显式导航到 https://example.com/index.html 也会阻止 test.jpg 的加载。我对同源的理解缺少什么？为什么 Chrome 和 Firefox 的处理方式存在差异？为什么添加 CSP 会导致 Firefox 开始阻止对 test.jpg 的请求？

如果我错过了什么，这里是每个请求的完整 header 集(来自 cURL):

> GET / HTTP/2
> Host: example.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 200
< date: Wed, 16 Feb 2022 04:56:43 GMT
< server: Apache
< via: e3s
< last-modified: Wed, 16 Feb 2022 04:43:18 GMT
< content-length: 226
< x-content-type-options: nosniff
< referrer-policy: same-origin
< content-security-policy: default-src 'none'; style-src 'self'; img-src 'self'; prefetch-src 'self'; frame-ancestors 'none'; form-action 'none'; upgrade-insecure-requests; block-all-mixed-content; disown-opener; sandbox; base-uri 'none'
< cross-origin-embedder-policy: require-corp
< cross-origin-opener-policy: same-origin
< etag: "e2-5d81b49ddfad8"
< accept-ranges: bytes
< vary: Accept-Encoding
< content-type: text/html; charset=UTF-8
<

> GET /test.jpg HTTP/2
> Host: example.com
> user-agent: curl/7.77.0
> accept: */*
>
< HTTP/2 200
< date: Wed, 16 Feb 2022 04:52:19 GMT
< server: Apache
< x-content-type-options: nosniff
< referrer-policy: same-origin
< cross-origin-resource-policy: same-origin
< last-modified: Wed, 16 Feb 2022 04:22:59 GMT
< etag: "18692-5d81b013bbe82"
< accept-ranges: bytes
< content-length: 99986
< cache-control: public, max-age=31557600, immutable
< age: 336
< via: e2s
< content-type: image/jpeg
<

Answer 1

我没有尝试重现，但从阅读本文来看，当您对文档进行沙箱处理时，Firefox 会开始阻止，这意味着它具有不透明的来源，因此图像将显示跨源。

对于 Chrome，沙箱是否也以某种方式发挥作用？