En este momento, mantengo la Política de seguridad de contenido para enlace , que es:
Content-Security-Policy: frame-ancestors 'self'; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce;
La parte con antepasados de fotogramas es proteger contra el clickjacking.
Al revisar los informes de violación enviados a report-uri.io, el número uno es el siguiente,
{
"csp-report": {
"blocked-uri": "",
"document-uri": "https://www.lidl.de/",
"original-policy": "frame-ancestors https://www.lidl.de; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce",
"violated-directive": "frame-ancestors https://www.lidl.de"
}
}
que se envía desde Firefox (como muestra report-uri.io). Estoy confundido sobre dos cosas aquí:
- ¿Por qué se envía este informe? No puedo reproducirlo.
- ¿Por qué se modifica la "política original" ('self' vs. enlace )? ¿Esto hace alguna diferencia?
- ( EDIT ) ¿Por qué
https://www.lidl.de/
está bloqueado en el siguiente informe? El csp permite explícitamente los iframes en el mismo sitio a través de'self'
.
EDITAR:
Para aclarar un poco la tercera pregunta, agrego otro csp-report
:
{
"csp-report": {
"document-uri": "https://www.lidl.de/",
"effective-directive": "frame-ancestors",
"original-policy": "frame-ancestors 'self'; block-all-mixed-content; report-uri https://lidlcsp.report-uri.io/r/default/csp/enforce;",
"blocked-uri": "https://www.lidl.de/"
}
}
Si puede reproducir la infracción de CSP o puede desencadenar otras infracciones, me encantaría conocerlas.