2016-06-17 8 views
0

私は、会社のWebサイトにContent-Security-Policy-Report-Onlyヘッダーを追加しようとしています。私はそれについて研究していましたが、いくつかのページにすでにContent-Security-Policyヘッダーが設定されていることがわかりました。 私はさらに調査し、その指示が必要でないことを発見しました。また、これらのページに使用されるデフォルトディレクティブは 'self'ですが、レポート専用に設定するものは 'https:'です。Content-Security-PolicyとContent-Security-Policy-Report-Only-Headerは、互いに干渉することなく共存できます。

私はこの分野の専門家ではなく、干渉しない。したがって、ガイダンスを探してください

すでにCSPヘッダーがあるページに対してレポートのみを設定すると、既存のヘッダーを妨害しますか?ビヘイビアブラウザは依存していますか?

どのようなヘルプ/ポインタも決定に役立ちます。

ありがとうございます!

答えて

1

コンテンツセキュリティポリシーとコンテンツセキュリティポリシーレポートのみ相互に影響はなく、完全に独立しています。両方を設定することは、ポリシーを強化する際の一般的な習慣です。私はある時点でこの動作のバグがあったことは疑いませんが、仕様は明らかです。

0

リンクhereに基づいて、サーバーは同じ要求で両方のヘッダーを送信してはなりません。
元のテキストは次のとおりです。サーバーは、同じHTTP応答でContent-Security-PolicyヘッダーフィールドとContent-Security-Policy-Report-Onlyヘッダーフィールドを提供してはならない(MUST NOT)。クライアントが応答の両方のヘッダーフィールドを受信した場合、すべてのContent-Security-Policy-Report-Onlyヘッダーフィールドを破棄し、Content-Security-Policyヘッダーフィールドを強制しなければならない(MUST)。

関連する問題