Content Security Policy Report Only

Hlavička pro testování nastavených politik CSP.

Hlavička CSP Report Only umožňuje vývojářům webu experimentovat s nastavením a sledovat chování vytvořených politik, aniž by došlo k jejich provedení. Prohlížeč hlavičku obdrží, zpracuje jí a bude se řídit definovanými pravidly, ale místo exekuce zajistí zpětnou vazbu o výsledku nastavení ve vývojářské konzoli.

Proč používat CSP Report Only

Definování pravidel a nasazení hlavičky Content Security Policy není zcela triviální a vyžaduje přesnou analýzu načítaného obsahu a nastavení správných pravidel. Pro vývojáře je možnost otestování vytvořených politik obrovskou výhodou.

Syntaxe

Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>

Definice parametrů hlavičky CSP Report Only

Hlavička CSP Report Only má stejné vlastnosti jako CSP.

Nastavení CSP [report-to]

Direktiva Content-Security-Policy report-to uvádí název koncového bodu, který by měl prohlížeč používat pro hlášení porušení CSP.

.htaccess

# CSP settings
Header set Content-Security-Policy-Report-Only: "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-to default"

Nastavení CSP [report-uri]

Deprecated: Tato funkce již není doporučena. Ačkoli jej některé prohlížeče mohou stále podporovat, může být již odstraněna z webových standardů, může být v procesu odstraňování nebo může být uchováván pouze pro účely kompatibility.

.htaccess

# CSP settings
Header set Content-Security-Policy-Report-Only: "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-uri https://{subdomain}.report-uri.com/r/d/csp/wizard;"

První nastavení CSP pro analýzu načítání zdrojů podle doporučení ReportURI.

Užitečné zdroje

• Hlavička Content Security Policy (CSP)
• ReportURI - CSP