CSP che segnala a un'altra origine

3

Stavo implementando un criterio CSP e ho impostato l'endpoint di reporting come un altro dominio, un'origine completamente separata. Sembrava che tutto andasse bene, ma parlando con alcuni amici sembravano sorpresi che funzionasse in quanto pensavano che i report CSP potessero andare solo allo stesso dominio o sottodominio. Mi sono guardato in giro online e ho letto la spec ma non ho trovato nulla che confermasse la loro teoria che era così.

Sono prudente in futuro perché preferirei impostare un endpoint di reporting che potrei ottenere in modo coerente anziché uno che potrebbe non riuscire sui browser più vecchi. C'è qualche verità nei loro sospetti sul fatto che i rapporti di origine incrociata non siano supportati?

Grazie in anticipo:)

    
posta winhowes 02.12.2016 - 03:07
fonte

2 risposte

1

Dopo aver provato questo su vasta scala con un'ampia varietà di browser, sembra che non ci siano problemi con l'endpoint di segnalazione su un dominio diverso.

    
risposta data 12.01.2018 - 09:12
fonte
1

In tutte le versioni di CSP ( v1 , v2 corrente , v3 ) non ci sono state limitazioni su dove i report possono essere inviati dal browser. La direttiva report-uri prevede un URL, il seguente è preso direttamente dalla specifica:

The report-uri directive specifies a URL to which the user agent sends reports about policy violation.

Storicamente i browser non inviano un pre-volo CORS per i report, che tecnicamente li ha messi in violazione del SOP, ma le versioni moderne di Chrome ora pre-flight un report CSP. Ciò significa che è necessario rispondere alle richieste OPTIONS con le intestazioni ACAO appropriate se si desidera che il browser invii report.

    
risposta data 29.01.2018 - 20:00
fonte

Leggi altre domande sui tag