Vorrei iniziare a introdurre un CSP su un sito. Vorrei iniziare aggiungendo un rapporto solo CSP e riportando solo contenuti misti, ad esempio quando le immagini vengono caricate da HTTP anziché da HTTPS.
Ho stancato i tre seguenti:
<meta http_equiv="Content-Security-Policy-Report-Only" content="upgrade-insecure-requests; report-uri https://example.report-uri.com/r/d/csp/reportOnly"/>
<meta http_equiv="Content-Security-Policy-Report-Only" content="img-src https:; report-uri https://example.report-uri.com/r/d/csp/reportOnly">
<meta http_equiv="Content-Security-Policy-Report-Only" content="block-all-mixed-content; report-uri https://example.report-uri.com/r/d/csp/reportOnly">
Ma nessuno di questi sta segnalando la violazione CSP all'URL di report-uri.
Come posso creare un CSP per segnalare solo contenuti (immagini) che vengono caricati da HTTP?