Stavo implementando un criterio CSP e ho impostato l'endpoint di reporting come un altro dominio, un'origine completamente separata. Sembrava che tutto andasse bene, ma parlando con alcuni amici sembravano sorpresi che funzionasse in quanto pensavano che i report CSP potessero andare solo allo stesso dominio o sottodominio. Mi sono guardato in giro online e ho letto la spec ma non ho trovato nulla che confermasse la loro teoria che era così.
Sono prudente in futuro perché preferirei impostare un endpoint di reporting che potrei ottenere in modo coerente anziché uno che potrebbe non riuscire sui browser più vecchi. C'è qualche verità nei loro sospetti sul fatto che i rapporti di origine incrociata non siano supportati?
Grazie in anticipo:)