コンテンツセキュリティポリシーreport-uriが認識されません。

Question

レポート専用モードでコンテンツセキュリティポリシーを設定しています。私がテストすると、Google Chromeはこのエラーを返します：

コンテンツセキュリティポリシー 'default-src' self ';スクリプト - src 'self' 'unsafe-inline' https：//use.typekit.com https://js.hs-analytics.nethttps://google-analytics.comhttps://ajax.googleapis.com; font-src https：//use.typekit.com;スタイル - src 'self' 'unsafe-inline' https：//use.typekit.com; frame-src https：//www.youtube.com; ' はレポート専用モードで配信されましたが、 'report-uri'は指定されていません。ポリシーは効果がありません。 'report-uri'ディレクティブを追加するか、 'Content-Security-Policy'ヘッダーでポリシーを配信してください。

header("Content-Security-Policy-Report-Only: default-src 'self'; 
     script-src 'self' 'unsafe-inline' https://use.typekit.com https://js.hs-analytics.net https://google-analytics.com https://ajax.googleapis.com; 
     font-src https://use.typekit.com; 
     style-src 'self' 'unsafe-inline' https://use.typekit.com; 
     frame-src https://www.youtube.com; 
     report-uri /csp-violations-report-endpoint; 
"); 

私は、Webルートディレクトリにフォルダを持っている：CSP-違反 - レポート - エンドポイントここ

は、私は、ウェブサイトのヘッダーPHPファイル内のHTTPヘッダを定義し、私の完全なコンテンツセキュリティポリシー違反を処理するためのindex.phpファイルが1つあります。

私が間違っていることはわかりません。私はMDN's suggestions for report-uriを読んで、Google's exampleを使ってreport-uri指令を書いた。

report-uriをルートディレクトリのスクリプトに設定するとよいでしょうか？私自身がログオンするようにするか、またはそれを処理するためにパーサが必要ですか？スクリプトに何か問題がありますか？

編集：私のウェブブラウザがreport-uriの指示文を無視していて（それが非難されているので）、report-toの指示文を期待している可能性があります。そのため動作しませんエラーメッセージは私にはそうではないと信じています。

Answer 1

私は完全に基底が離れているかもしれませんが、上の図のようにコードを使用していると、無効なヘッダーがたくさん送信されている可能性があります。 HTTPヘッダーは1行に存在する必要があります。試してみてください：

header(
    "Content-Security-Policy-Report-Only: default-src 'self'; " . 
    "script-src 'self' 'unsafe-inline' https://use.typekit.com https://js.hs-analytics.net https://google-analytics.com https://ajax.googleapis.com; " . 
    "font-src https://use.typekit.com; " . 
    "style-src 'self' 'unsafe-inline' https://use.typekit.com; " . 
    "frame-src https://www.youtube.com; " . 
    "report-uri /csp-violations-report-endpoint; " 
);