CSP report-uri non funziona

0

Sto usando il seguente script PHP per testare il criterio CSP,

<?php
   header("Content-Security-Policy: default-src https:; report-uri /report.php");
   header("Content-Security-Policy: default-src 'self'");
?>

<html>
   <body>
        <script src="http://google/abc.js"></script></body></html>

IlcriterioCSPfunziona,

Ma la parte report-uri no. La richiesta di segnalazione non è mai stata inviata e nessuna voce pertinente nei log di accesso di nginx

Qualche idea?

    
posta daisy 11.11.2017 - 17:10
fonte

1 risposta

3

Dallo standard di Content-Security-Policy :

A server SHOULD NOT send more than one HTTP response header field named "Content-Security-Policy" with a given resource representation.

Tuttavia, stai utilizzando più intestazioni di Content-Security-Policy. Il comportamento non è definito per questo caso. Ma sembra che i browser in questo caso usino solo l'intestazione più recente. Ciò significa che la prima intestazione che specifica un report-uri viene ignorata e utilizza solo la seconda intestazione, che non specifica un report-uri .

    
risposta data 11.11.2017 - 17:55
fonte

Leggi altre domande sui tag