發現知乎的一個Bug，而且我繞過了此Bug，沾沾自喜中...

發現問題

在知乎點擊修改頭像，上傳圖片時發現一片空白。憑着程序員的直覺，第一反應時看下控制檯是否有報錯。果真發現以下：

Refused to load the image 'data:image/jpeg;base64...' because it violates the following Content Security Policy directive: "default-src *". Note that 'img-src' was not explicitly set, so 'default-src' is used as a fallback.

第一次發現此類報錯，果斷google之。發現爲抵禦XSS攻擊，配置了響應參數CSP（Content Security Policy）引發的。

HTML頁面的響應參數以下：

Content-Security-Policy:default-src *; frame-src *.zhihu.com getpocket.com note.youdao.com; script-src *.zhihu.com *.google-analytics.com zhstatic.zhihu.com 'unsafe-eval'; style-src *.zhihu.com 'unsafe-inline'

錯誤提示的大概意思是因爲沒有配置img-src，因此默認採用default-src的配置。
可是default-src配置爲*，因此理論上應該是不會報錯的。查看了 https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives#default-src文檔以下

誤打誤撞解決問題

因此我只能先認定只配置*是存在問題的，忽然想着本地代理映射文件而後修改響應參數去驗證，因而保存HTMl文件，並用charles映射到本地。
神奇的事情忽然發生了,居然能上傳成功。


忽然爲程序員的本身感到自豪。

後記

雖然解決了上傳問題，可是還有好多疑問。

1. 對default-src配置*是否有效還須要進一步確認。
2. 經過代理本地文件就能繞後CSP，是否存在安全問題。
3. 有沒有代理能夠修改響應參數的。