¿CSP para reportar recursos HTTP?

2

Me gustaría comenzar a introducir un CSP en un sitio. Me gustaría comenzar agregando un informe solo de CSP e informando solo sobre contenido mixto, por ejemplo, cuando una imagen se carga desde HTTP en lugar de HTTPS.

He cansado los tres siguientes:

<meta http_equiv="Content-Security-Policy-Report-Only" content="upgrade-insecure-requests; report-uri https://example.report-uri.com/r/d/csp/reportOnly"/>
<meta http_equiv="Content-Security-Policy-Report-Only" content="img-src https:; report-uri https://example.report-uri.com/r/d/csp/reportOnly">
<meta http_equiv="Content-Security-Policy-Report-Only" content="block-all-mixed-content; report-uri https://example.report-uri.com/r/d/csp/reportOnly">

Pero ninguno de estos está reportando la violación de CSP a la URL report-uri.

¿Cómo puedo crear un CSP para informar únicamente el contenido (imágenes) que se están cargando desde HTTP?

    
pregunta user802599 14.09.2018 - 08:35
fuente

1 respuesta

1

Todavía no estoy seguro de por qué esto está fallando, pero pude encontrar que si agregué un encabezado de CSP al conjunto de sitios para permitir todo y luego configuré una etiqueta meta para no permitir lo que quería que no funcionara.

    
respondido por el user802599 19.09.2018 - 03:05
fuente

Lea otras preguntas en las etiquetas