Chrome сообщает report-uri
о нарушениях Политики безопасности контента, но не сообщает подробностей о нарушениях. Он сообщает {}
вместо того, чтобы предоставлять подробную информацию о нарушенной политике. Все остальные браузеры, похоже, сообщают о нарушениях в порядке. Моя политика представлена ниже.
Я пробовал ...
- помещая полный абсолютный путь в директиву
report-uri
. - вывод политики из режима
Report-Only
- сделать политику намного проще, например
default-src 'none' ; report-uri /api/csp-report;
- отключение всех моих расширений (хотя я вижу это на рабочем сайте от посетителей win и osx с хромом)
- тестирование на Канарских островах
- "Сообщил о проблеме" в хроме (я предполагаю, что он еще даже не был отсортирован)
Вопросы, на которые я еще не нашел ответа
- Это уже реализовано в Chrome?
- Реализация отличается от спецификации?
Политика (доставляется через заголовок HTTP)
Content-Security-Policy-Report-Only: default-src «Нет»; script-src 'self' 'unsafe-eval' https://www.google-analytics.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' https://www.google-analytics.com; font-src 'self' https://fonts.gstatic.com; connect-src 'self' https://api.servicesite.com; frame-src 'нет'; child-src 'нет'; фрейм-предки 'none'; форма-действие «я»; обновления-небезопасные-запросы; блокировать все смешанное содержимое; блок отраженного xss; base-uri https: //*.mysite.com; происхождение реферера при перекрестном происхождении; отчет-uri / api / csp-отчет;
Обновление ... Mar-16-2016
- Chrome отправляет отчет. Я вижу тело запроса на вкладке сети. Также регистрируем его в промежуточном прокси-сервере nginx.
Это наводит меня на мысль, что это проблема синтаксического анализа в моем принимающем коде (node, express using body-parser). Однако все еще не понимает, почему это может происходить только с отчетами Chrome CSP. Все остальные отчеты браузера проходят нормально.