Sto usando il seguente script PHP per testare il criterio CSP,
<?php
header("Content-Security-Policy: default-src https:; report-uri /report.php");
header("Content-Security-Policy: default-src 'self'");
?>
<html>
<body>
<script src="http://google/abc.js"></script></body></html>IlcriterioCSPfunziona,
Ma la parte report-uri no. La richiesta di segnalazione non è mai stata inviata e nessuna voce pertinente nei log di accesso di nginx
Qualche idea?
Dallo standard di Content-Security-Policy :
A server SHOULD NOT send more than one HTTP response header field named "Content-Security-Policy" with a given resource representation.
Tuttavia, stai utilizzando più intestazioni di Content-Security-Policy. Il comportamento non è definito per questo caso. Ma sembra che i browser in questo caso usino solo l'intestazione più recente. Ciò significa che la prima intestazione che specifica un report-uri viene ignorata e utilizza solo la seconda intestazione, che non specifica un report-uri .
Leggi altre domande sui tag content-security-policy