CSP reportando a otro origen

3

Estaba implementando una política de CSP y configuré el punto final de informes como otro dominio, un origen completamente separado. Todo parecía funcionar bien, pero al hablar con algunos amigos, parecían sorprendidos de que funcionara porque pensaban que los informes de CSP solo podían ir al mismo dominio o a un subdominio. Miré a mi alrededor en línea y leí la spec pero no encontré nada que confirmara su teoría que solía ser de esa manera.

Soy cauteloso en el futuro porque prefiero configurar un punto final de informe que pueda obtener de forma consistente en lugar de uno que pueda fallar en los navegadores más antiguos. ¿Hay alguna verdad en sus sospechas de que los informes de origen cruzado no fueran compatibles?

Gracias de antemano :)

    
pregunta winhowes 02.12.2016 - 03:07
fuente

2 respuestas

1

Habiendo probado esto a escala con una amplia variedad de navegadores, no parece haber ningún problema con el punto final de informes en un dominio diferente.

    
respondido por el winhowes 12.01.2018 - 09:12
fuente
1

En todas las versiones de CSP ( v1 , v2 actual , v3 ) no ha habido ninguna limitación sobre dónde pueden enviarse los informes desde el navegador. La directiva report-uri espera una URL, lo siguiente se toma directamente de la especificación:

The report-uri directive specifies a URL to which the user agent sends reports about policy violation.


Históricamente, los navegadores no enviarían un CORS antes del vuelo para los informes, lo que técnicamente los puso en violación del SOP, pero las versiones modernas de Chrome ahora incluyen un informe CSP. Esto significa que debe responder a las solicitudes de OPCIONES con los encabezados ACAO apropiados si desea que el navegador envíe informes.

    
respondido por el Scott Helme 29.01.2018 - 20:00
fuente

Lea otras preguntas en las etiquetas