CSP report-uri no funciona

Navega tus respuestas
0

Estoy usando el siguiente script PHP para probar la política de CSP, 

<?php
   header("Content-Security-Policy: default-src https:; report-uri /report.php");
   header("Content-Security-Policy: default-src 'self'");
?>

<html>
   <body>
        <script src="http://google/abc.js"></script></body></html>

LapolíticadeCSPfunciona,

Pero la parte report-uri no lo hizo. La solicitud de informe nunca se envió y no hay ninguna entrada relevante en los registros de acceso de nginx

¿Alguna idea?

    
pregunta daisy 11.11.2017 - 17:10
fuente

1 respuesta

3

Desde el estándar de política de seguridad de contenido :

  

Un servidor NO DEBE enviar más de un campo de encabezado de respuesta HTTP denominado "Política de seguridad de contenido" con una representación de recursos determinada.

Pero, estás usando múltiples encabezados de Política de Seguridad de Contenido. El comportamiento no está definido para este caso. Pero parece que los navegadores en este caso solo usan el último encabezado. Esto significa que su primer encabezado que especifica un report-uri se ignora y solo el segundo encabezado se usa, lo que no especifica un report-uri .

    
respondido por el Steffen Ullrich 11.11.2017 - 17:55
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo asegurarme de tener el certificado raíz correcto en mi navegador? ¿Se recomienda parchar la vulnerabilidad anunciada para servicios o características no utilizados?