在閱讀an introduction to CSP和CSP website後,我想在我的網站上獲得CSP違規的反饋日誌。HTML標頭內容安全政策沒有向文件報告
所以,我設置了一個頭在我的.htaccess
作爲鏈路上面定義:
Header set Content-Security-Policy "default-src 'self' https://www.google-analytics.com https://www.jscache.com;"
這作品,但由於種種原因,還有一些仍在阻止其他實體,所以我想以設置CSP 報告。同樣,在上面鏈接的文件中清楚地解釋了一些內容。
而回到我.htaccess
我更換行:
Header set Content-Security-Policy-Report-Only "default-src 'self'; report-uri /csp_report_parser.txt;"
,我想報告所有非自申請到一個文件中,/csp_report_parser.txt
。這個文件我已經在同一個地方作爲.htaccess
創建,但該文件無法被填充,儘管螢火蟲反饋,指出:
內容安全策略:該頁面的設置觀察到的資源的加載在https://www.google-analytics.com/analytics.js(「默認-src http://mywebsite「)。 CSP報告正在發送。
許多這些每次都說明「正在發送CSP報告」。這個報告應該被髮送到的文件存在,並且我已經給予了權限777,但是該文件仍然是空白的。
我錯過了哪些報告反饋到文件中?
我也曾嘗試指定一個絕對URL向如報告:
Header set Content-Security-Policy-Report-Only "default-src 'self'; report-uri http://mywebsite/csp_report_parser.txt;"
但同樣,我的域名此文件瀏覽器,儘管螢火聲明如上保持空白。