Github использовал заголовок Content Security Policy с 2013 года, который блокировал закладки с помощью unsafe-inlineопции:
СОДЕРЖАНИЕ-SECURITY-ПОЛИС: default-src *; script-src 'self' assets-cdn.github.com jobs.github.com ssl.google-analytics.com secure.gaug.es; style-src 'self' assets-cdn.github.com 'unsafe-inline'; object-src 'self' assets-cdn.github.com;
Это было исправлено в 2017 году с более четкой политикой:
СОДЕРЖАНИЕ-SECURITY-ПОЛИС: default-src 'none'; base-uri 'я'; Блок-все-смешанное содержимое; child-src render.githubusercontent.com; connect-src "self" uploads.github.com status.github.com api.github.com www.google-analytics.com wss: //live.github.com; font-src assets-cdn.github.com; форма-действие "я" github.com gist.github.com; фрейм-предки «нет»; frame-src render.githubusercontent.com; img-src «собственные» данные: assets-cdn.github.com identicons.github.com www.google-analytics.com collector.githubapp.com * .gravatar.com * .wp.com * .githubusercontent.com; media-src 'none'; object-src assets-cdn.github.com; применение типов плагинов / x-shockwave-flash; script-src assets-cdn.github.com; style-src 'unsafe-inline' assets-cdn.github.com
Рекомендации