Content Security Policy Report Only

Content Security Policy Report Only

Hlavička pro testování nastavených politik CSP.

Hlavička CSP Report Only umožňuje vývojářům webu experimentovat s nastavením a sledovat chování vytvořených politik, aniž by došlo k jejich provedení. Prohlížeč hlavičku obdrží, zpracuje jí a bude se řídit definovanými pravidly, ale místo exekuce zajistí zpětnou vazbu o výsledku nastavení ve vývojářské konzoli.

Proč používat CSP Report Only

Definování pravidel a nasazení hlavičky Content Security Policy není zcela triviální a vyžaduje přesnou analýzu načítaného obsahu a nastavení správných pravidel. Pro vývojáře je možnost otestování vytvořených politik obrovskou výhodou.

Syntaxe

Content-Security-Policy-Report-Only: <policy-directive>; <policy-directive>

Definice parametrů hlavičky CSP Report Only

Hlavička CSP Report Only má stejné vlastnosti jako CSP.

Nastavení CSP

.htaccess
# CSP settings
Header set Content-Security-Policy-Report-Only: "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-uri https://{subdomain}.report-uri.com/r/d/csp/wizard;"

První nastavení CSP pro analýzu načítání zdrojů podle doporučení ReportURI.

Nginx
add_header Content-Security-Policy-Report-Only "default-src 'none'; form-action 'none'; frame-ancestors 'none'; report-uri https://{subdomain}.report-uri.com/r/d/csp/wizard"

Užitečné zdroje