Javascriptを使用したコンテンツセキュリティポリシー例外のキャッチ

Question

私たちはhuuugeワンページWebアプリケーションでCSPを実装しました。私たちは時々間違いを犯し続けています。ユーザーフォームの入力が不適切に処理された結果、ユーザーのブラウザ内でエラーが発生したようなエラーもあります。

CSP例外が発生したときにクライアント側でさらにデータを収集する方法はありますか？サーバー側のレポートは重要なデータを失います。ソースのソースURL、ブロックされたURL、違反したルール/ディレクティブはわかっていますが、現時点で何が画面に表示されていたのか、ユーザーのブラウザに責任があるのか​​わからないので役立ちません。それだった - 私たちは、時間/何JS層/ディテールでそのリソースを要求するため、元のソース/トリガた

を見ていたものをjavscriptモジュール

• を知っておく必要があり

  いくつかのロボットによって埋め込まれた不正なフォーム埋め込みHTMLを表示していないか、またはユーザーの感染したブラウザがこれらのマルウェアリンクを挿入していましたか？

window.onCSPException = funcのようなフックがあり、クライアント側の解析を実行できますか？私たちは問題を顧客のブラウザの問題と速やかに区別する必要があります。

Answer 1

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP#Enabling_reporting：デフォルトでは

は、違反報告は送信されません。そして、あなたがレポートを受信するようにサーバーを設定する必要があり

Content-Security-Policy: default-src 'self'; report-uri http://reportcollector.example.com/collector.cgi

;：違反の報告を有効にするには、先のレポートを配信するために、少なくとも1つのURIを提供し、レポート-uriのポリシーディレクティブを指定する必要がありますそれはあなたが適切だと感じるどのような方法でもそれらを保存または処理することができます。