HTTP头部信息 | 仅报告Content-Security-Policy相关的内容

仅报告 Content-Security-Policy 设置的情况这是一种HTTP响应头，它允许开发人员在不强制执行安全策略的情况下进行测试。任何违反规则的情况都会被记录为JSON格式的报告，并通过HTTP POST方式发送到指定的URI。

• 目的：那个仅报告 Content-Security-Policy 设置的情况这种机制允许开发者在不强制执行安全策略的情况下，来测试这些策略的有效性。
• 效果/影响它能够监控到政策被违反的情况，并对此进行报告，而不是直接屏蔽相关内容。
• 报告/报道违规行为会被记录为JSON格式的文件。
• 交付/送达这些报告是通过HTTP POST请求发送到指定的报告端点（URI）的。
• 标题类型这是一种与响应相关的HTTP头部信息。

语法：

Content-Security-Policy-Report-Only: <策略指令>

指示/指令：此头部可以接受上述以及下面所描述的单一头部信息。

• <policy-directive>: 策略指令在这个标题中，内容安全策略可以使用标题。报告/汇报使用此头部时，应同时使用相关指令。

注意：那个报告/汇报该指令将被其他内容所取代。汇报给指令/指示汇报给不过，大多数浏览器仍然不支持这种格式。因此，为了解决兼容性问题，可以同时指定两种格式。报告/汇报以及汇报给因为这样做不仅会增加与现有浏览器的兼容性，还会在将来浏览器更新时保持向后兼容性。汇报给支持。

内容安全策略：……；报告链接：https://written.spoto.net；报告发送对象：groupname

支持这些浏览器的网站/网页向…报告会忽略/不理会报告/汇报.

• 报告对象：发射子弹/投射物违反安全政策的事件如上所述，目前并非所有浏览器都支持这一功能。

示例：

该头部的目的是报告可能发生的任何违规行为。它可以反复使用，以不断完善内容安全策略。通过这种方式，我们可以了解网站的运作情况。违规报告和/或恶意软件导致的重定向行为那么，请选择适用的政策吧。内容安全策略标题/头部信息。

Content-Security-Policy-Report-Only: 默认情况下，该策略将允许从 https 来源获取内容；如果检测到安全违规，则可以将报告发送到 /csp-violation-report-endpoint/ 这个地址。

如果希望在实施该政策的同时还能收到相关报告，那么他们可以使用相应的方法来实现这一目标。内容安全策略带有标题的头部内容报告/汇报指令/指示。

Content-Security-Policy: 默认情况下，该策略将源指向 https。  report-uri: /csp-violation-report-endpoint/

要查看这个“Content-Security-Policy-Report-Only”功能的实际效果，请访问……

检查元素 -> 网络

请检查请求头中是否有类似以下的 Content-Security-Policy-Report-Only 字段。可以看到，Content-Security-Policy-Report-Only 被高亮显示了。

违规报告的语法结构：

该JSON报告中包含以下数据：

• 被阻塞的URI：被内容安全策略阻止无法加载的资源URI。如果被阻止的URI来自与文档URI不同的来源，那么该URI会被缩短为仅包含协议、主机和端口这些信息。
• 性格/特点：要么这样，要么那样。强制执行/实施 or “报告”这取决于具体情况。内容安全策略或者仅报告 Content-Security-Policy 设置的情况使用了标题栏。
• 文档URI：出现违规情况的文档的URI。
• 有效的、具有指导性的方法/措施导致该违规行为发生的指令。
• 原始政策：最初的政策规定中有所说明。仅报告内容安全策略设置情况HTTP头部信息。
• 引用者：出现违规行为的文档的引用来源。
• 脚本示例：导致该违规行为的inline脚本、事件处理程序或样式的前40个字符。
• 状态代码：该全局对象所关联的资源的HTTP状态码。
• 违反指令：该政策部分的名称被错误地使用了。

示例违规报告：该页面的链接地址是：http://spoto.net/signup.html以下是所实施的政策：只有来自特定样式表的样式表才被允许使用。cdn.spoto.net.

Content-Security-Policy-Report-Only: 默认值为‘none’；  style-src: cdn.spoto.net；report-uri: /_/csp-reports

• HTML代码：该HTML的内容如下：signup.html看起来是这样的：HTML

  <!DOCTYPE html><HTML><头部>    <标题>Sign Up</标题>    <链接 关系/联系=“样式表” href=“css/style.css”></头部><身体>    . . .</身体></HTML>

• 违规行为：在这里，CSS文件只能从CDN中下载。而在HTML代码中，浏览器则会尝试从本地文件中加载内容，因为浏览器会检测到这种违规行为。

  {“csp-report”:{“document-uri”: “http://spoto.net/signup.html”,“referrer”: “”,“blocked-uri”: “http://spoto.net/css/style.css”,“violated-directive”: “style-src cdn.spoto.net”,“original-policy”: “default-src ‘none’; style-src cdn.spoto.net; report-uri /_/csp-reports”,“disposition”: “report”}}

支持的浏览器：这些浏览器是兼容的。HTTP Content-Security-Policy-报告模式以下是各个标题的列表：

• Google Chrome 25.0
• Internet Explorer 10.0
• Firefox 23.0
• Safari 7.0
• Opera 15.0