In questo momento, mantengo la Content-Security-Policy per link , che è:
Content-Security-Policy: frame-ancestors 'self'; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce;
La parte con gli antenati del frame è quella di proteggere dal clickjacking.
Quando si passano i rapporti di violazione inviati a report-uri.io, il numero uno è il seguente,
{
"csp-report": {
"blocked-uri": "",
"document-uri": "https://www.lidl.de/",
"original-policy": "frame-ancestors https://www.lidl.de; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce",
"violated-directive": "frame-ancestors https://www.lidl.de"
}
}
che viene inviato da Firefox (come mostra report-uri.io). Sono perplesso su due cose qui:
- Perché viene inviato questo rapporto? Non riesco a riprodurlo.
- Perché la "politica originale" è stata modificata ("self" vs. link )? Questo fa qualche differenza?
- ( EDIT ) Perché
https://www.lidl.de/
è bloccato nel seguente rapporto? La csp consente esplicitamente iframe sullo stesso sito tramite'self'
.
Modifica
Per rendere la terza domanda un po 'più chiara aggiungo un altro csp-report
:
{
"csp-report": {
"document-uri": "https://www.lidl.de/",
"effective-directive": "frame-ancestors",
"original-policy": "frame-ancestors 'self'; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce;",
"blocked-uri": "https://www.lidl.de/"
}
}
Se riesci a riprodurre la violazione CSP o attivare altre violazioni, saremo lieti di informarti.