CSP per segnalare le risorse HTTP?

2

Vorrei iniziare a introdurre un CSP su un sito. Vorrei iniziare aggiungendo un rapporto solo CSP e riportando solo contenuti misti, ad esempio quando le immagini vengono caricate da HTTP anziché da HTTPS.

Ho stancato i tre seguenti:

<meta http_equiv="Content-Security-Policy-Report-Only" content="upgrade-insecure-requests; report-uri https://example.report-uri.com/r/d/csp/reportOnly"/>
<meta http_equiv="Content-Security-Policy-Report-Only" content="img-src https:; report-uri https://example.report-uri.com/r/d/csp/reportOnly">
<meta http_equiv="Content-Security-Policy-Report-Only" content="block-all-mixed-content; report-uri https://example.report-uri.com/r/d/csp/reportOnly">

Ma nessuno di questi sta segnalando la violazione CSP all'URL di report-uri.

Come posso creare un CSP per segnalare solo contenuti (immagini) che vengono caricati da HTTP?

    
posta user802599 14.09.2018 - 08:35
fonte

1 risposta

1

Ancora non sono sicuro del motivo per cui questo non funziona, ma sono riuscito a scoprire che se avessi aggiunto un'intestazione CSP al set del sito per consentire tutto e quindi impostare un metatag per impedire ciò che volevo non consentire funzionasse.

    
risposta data 19.09.2018 - 03:05
fonte

Leggi altre domande sui tag