Content Security Policy Report Only
Hlavička pro testování nastavených politik CSP.
Hlavička CSP Report Only umožňuje vývojářům webu experimentovat s nastavením a sledovat chování vytvořených politik, aniž by došlo k jejich provedení. Prohlížeč hlavičku obdrží, zpracuje jí a bude se řídit definovanými pravidly, ale místo exekuce zajistí zpětnou vazbu o výsledku nastavení ve vývojářské konzoli.
Proč používat CSP Report Only
Definování pravidel a nasazení hlavičky Content Security Policy není zcela triviální a vyžaduje přesnou analýzu načítaného obsahu a nastavení správných pravidel. Pro vývojáře je možnost otestování vytvořených politik obrovskou výhodou.
Syntaxe
Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>
Definice parametrů hlavičky CSP Report Only
Hlavička CSP Report Only má stejné vlastnosti jako CSP.
Nastavení CSP
.htaccess
# CSP settingsHeader set Content-Security-Policy-Report-Only: "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-uri https://{subdomain}.report-uri.com/r/d/csp/wizard;"
První nastavení CSP pro analýzu načítání zdrojů podle doporučení ReportURI.
Nginx
add_header Content-Security-Policy-Report-Only "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-uri https://{subdomain}.report-uri.com/r/d/csp/wizard"
Užitečné zdroje
Security headers
Doporučené hlavičky pro webové stránky.
Sponzor hlavičky
www.domenaxyz.cz
Security headers
- Strict Transport Security (HSTS)
- Content Security Policy (CSP)
- CSP Report Only
- Referrer Policy
- X-Frame-Options
- X-Content-Type-Options
- X-XSS-Protection
- X-Download-Options
- X-Powered-By
- X-Permitted-Cross-Domain-Policies
- Permissions Policy
- Feature Policy
- Expect-CT
- Public Key Pins (HPKP)
- Upgrade-Insecure-Requests