Zdefiniowałem politykę bezpieczeństwa treści (CSP) dla mojego zastosowania spa przez meta - tag:

<meta content = "default-src https: 'self' https://%SOME_DOMAIN%.com 'unsafe-eval' 'unsafe-inline'; child-src 'none'; object-src 'none';"
      http-equiv = "Content-Security-Policy" />

Wszystko działa, aw przypadku naruszenia widzę ostrzeżenie w konsoli.
Teraz chcę wysłać automatyczne raport do tylnego końca za pomocą dyrektywy report-to.

Czy rozumiem go poprawnie, że ze względów bezpieczeństwa mogę skonfigurować report-to tylko w backend i wysłać go do strony klienta tylko jako nagłówek HTTP, a nie mogę po prostu zadeklarować go w {{{ X1}} - Tag, tak jak zrobiłem zasady polityki bezpieczeństwa treści?

0
Mike B. 21 listopad 2020, 02:40

1 odpowiedź

Najlepsza odpowiedź

Tak, rozumiesz go poprawnie. API raportowanie działa tylko przez nagłówek HTTP.
Ponadto report-to / report-uri Dyrektywy CSP nie są obsługiwane w meta - Tag.

Jeśli chcesz uzyskać raporty naruszające, CSP powinien być dostarczany z serwera jako nagłówka HTTP. W przypadku użycia {X0}} Dyrektywa nie potrzebujesz niczego specjalnego, ale w przypadku zastosowania report-to Dyrektywa, dodatkowo trzeba publikować specjalny nagłówek HTTP {X2}} z serwera.
.

PS: Tylko chrome obsługuje Reporting API / report-to Dyrektywa na razie.

1
Mike B. 21 listopad 2020, 07:30