Sto usando il seguente script PHP per testare il criterio CSP,
<?php
header("Content-Security-Policy: default-src https:; report-uri /report.php");
header("Content-Security-Policy: default-src 'self'");
?>
<html>
<body>
<script src="http://google/abc.js"></script></body></html>
IlcriterioCSPfunziona,
Ma la parte report-uri
no. La richiesta di segnalazione non è mai stata inviata e nessuna voce pertinente nei log di accesso di nginx
Qualche idea?