Me gustaría comenzar a introducir un CSP en un sitio. Me gustaría comenzar agregando un informe solo de CSP e informando solo sobre contenido mixto, por ejemplo, cuando una imagen se carga desde HTTP en lugar de HTTPS.
He cansado los tres siguientes:
<meta http_equiv="Content-Security-Policy-Report-Only" content="upgrade-insecure-requests; report-uri https://example.report-uri.com/r/d/csp/reportOnly"/>
<meta http_equiv="Content-Security-Policy-Report-Only" content="img-src https:; report-uri https://example.report-uri.com/r/d/csp/reportOnly">
<meta http_equiv="Content-Security-Policy-Report-Only" content="block-all-mixed-content; report-uri https://example.report-uri.com/r/d/csp/reportOnly">
Pero ninguno de estos está reportando la violación de CSP a la URL report-uri.
¿Cómo puedo crear un CSP para informar únicamente el contenido (imágenes) que se están cargando desde HTTP?