1️⃣ content-security-policy не содержит 'report-sample'. -1 балл. 2️⃣ content-security-policy содержит 'unsafe-inline'. -4 балла.
Если первое исправить, то в Safari и файрфокс в консоли сыпет ошибками. Если исправить второе, то стили не будут работать, потому что у нас они inline и в нашем случае это безопасно, потому что у нас нет UGC.
Мы поколдовали по вашим правкам на https://loading.express и получили 45/50:
https://http.itsoft.ru/?url=https%3A%2F%2Floading.express&accept=text%2Fhtml%2Capplication%2Fxhtml%2Bxml%2Capplication%2Fxml%3Bq%3D0.9%2Cimage%2Fwebp%2Cimage%2Fapng%2C*%2F*%3Bq%3D0.8%2Capplication%2Fsigned-exchange%3Bv%3Db3%3Bq%3D0.9&accept_en=gzip%2C+deflate%2C+br&accept_lang=en&if_modified_since=&if_none_match=&user_agent=Mozilla%2F5.0+%28Windows+NT+10.0%3B+Win64%3B+x64%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F81.0.4044.129+Safari%2F537.36&h1=&v1=&h2=&v2=&h3=&v3=&h4=&v4=&h5=&v5=&http_version=2&method=GET&timeout=2&postdata=#h2_http_request
1️⃣ content-security-policy не содержит 'report-sample'. -1 балл.
2️⃣ content-security-policy содержит 'unsafe-inline'. -4 балла.
Если первое исправить, то в Safari и файрфокс в консоли сыпет ошибками.
Если исправить второе, то стили не будут работать, потому что у нас они inline и в нашем случае это безопасно, потому что у нас нет UGC.
Спасибо вам еще раз за сервис. Вы Молодцы!
Так включите content-security-policy-report-only:
Ну инлайн стили как и инлайн скрипты просто говорят о том, что это нехорошо. Понятно, что кто не без греха.